一、微信支付产品介绍
1、付款码支付
用户展示微信钱包内的
“
付款码
”
给商家,商家扫描后直接完成支付,适用于线下面对面收银的场景。
2、JSAPI支付
线下场所:商户展示一个支付二维码,用户使用微信扫描二维码后,输入需要支付的金额,完成支
付。
公众号场景:用户在微信内进入商家公众号,打开某个页面,选择某个产品,完成支付。
PC
网站场景:在网站中展示二维码,用户使用微信扫描二维码,输入需要支付的金额,完成支
付。
特点:用户在客户端输入支付金额
3、小程序支付
在微信小程序平台内实现支付的功能。
4、Native支付
Native
支付是指商户展示支付二维码,用户再用微信
“
扫一扫
”
完成支付的模式。这种方式适用于
PC
网站。(本章重点介绍此功能接入)
特点:商家预先指定支付金额
5、APP支付
商户通过在移动端独立的
APP
应用程序中集成微信支付模块,完成支付。
6、刷脸支付
用户在刷脸设备前通过摄像头刷脸、识别身份后进行的一种支付方式。
二、接入微信支付功能必备的必须条件
1、获取商户号(!!!必须是企业或者个体户)
微信商户平台:
https://pay.weixin.qq.com/
步骤:提交资料
=>
签署协议
=>
获取商户号
2、获取APPID
微信公众平台:
https://mp.weixin.qq.com/
步骤:注册服务号
=>
服务号认证
=>
获取
APPID =>
绑定商户号
不一定是服务号,已通过微信认证的服务号、政府或媒体类订阅号、小程序、企业微信、移动应用、网站应用都可以,还有微信小程序必须要企业营业执照认证。
3、获取APIv2秘钥
APIv2
版本的接口需要此秘钥
步骤:登录商户平台
=>
选择 账户中心
=>
安全中心
=> API
安全
=>
设置
API
密钥
4、获取APIv3秘钥
APIv3
版本的接口需要此秘钥
步骤:登录商户平台
=>
选择 账户中心
=>
安全中心
=> API
安全
=>
设置
APIv3
密钥
随机密码生成工具:
https://suijimimashengcheng.bmcx.com/
5、申请商户API证书
APIv3
版本的所有接口都需要;
APIv2
版本的高级接口需要(如:退款、企业红包、企业付款等)
步骤:登录商户平台
=>
选择 账户中心
=>
安全中心
=> API
安全
=>
申请
API
证书
6、获取微信平台证书 。
注意:以上所有API秘钥和证书需妥善保管防止泄露!
三、支付安全(证书/密钥/签名)
1、信息安全的基础 - 机密性
明文:
加密前的消息叫
“
明文
”
(
plain text
)
密文:
加密后的文本叫
“
密文
”
(
cipher text
)
密钥:
只有掌握特殊
“
钥匙
”
的人,才能对加密的文本进行解密,这里的
“
钥匙
”
就叫做
“
密钥
”
(
key
)
“密钥”就是一个字符串,度量单位是“位”(bit),比如,密钥长度是 128,就是 16 字节的二
进制串
加密:
实现机密性最常用的手段是
“
加密
”
(
encrypt
)
按照密钥的使用方式,加密可以分为两大类:对称加密和非对称加密。
解密:
使用密钥还原明文的过程叫
“
解密
”
(
decrypt
)
加密算法:
加密解密的操作过程就是
“
加密算法
”
所有的加密算法都是公开的,而算法使用的“密钥”则必须保密
2、对称加密和非对称加密
对称加密
- 特点:只使用一个密钥,密钥必须保密,常用的有 AES算法
- 优点:运算速度快
- 缺点:秘钥需要信息交换的双方共享,一旦被窃取,消息会被破解,无法做到安全的密钥交
- 换
非对称加密
- 特点:使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,常用的有 RSA
- 优点:黑客获取公钥无法破解密文,解决了密钥交换的问题
- 缺点:运算速度非常慢
混合加密
- 实际场景中把对称加密和非对称加密结合起来使用。
3、身份认证
公钥加密,私钥解密的作用是加密信息
私钥加密,公钥解密的作用是身份认证
4、摘要算法(Digest Algorithm)
摘要算法就是我们常说的散列函数、哈希函数(
Hash Function
),它能够把任意长度的数据
“
压缩
”
成固定长度、而且独一无二的“
摘要
”
字符串,就好像是给这段数据生成了一个数字
“
指纹
”
。
作用
:
保证信息的完整性
特性
:
- 不可逆:只有算法,没有秘钥,只能加密,不能解密
- 难题友好性:想要破解,只能暴力枚举
- 发散性:只要对原文进行一点点改动,摘要就会发生剧烈变化
- 抗碰撞性:原文不同,计算后的摘要也要不同
常见摘要算法
:
MD5
、
SHA1
、
SHA2
(
SHA224
、
SHA256
、
SHA384
)
5、数字签名
数字签名是使用私钥对摘要加密生成签名,需要由公钥将签名解密后进行验证,实现身份认证和不可否认。
签名和验证签名的流程
:
6、数字证书
数字证书解决
“
公钥的信任
”
问题,可以防止黑客伪造公钥。
不能直接分发公钥,公钥的分发必须使用数字证书,数字证书由
CA
颁发
https
协议中的数字证书:
7、微信APIv3证书
商户证书
:
商户
API
证书是指由商户申请的,包含商户的商户号、公司名称、公钥信息的证书。
微信支付平台证书是指由
微信支付
负责申请的,包含微信支付平台标识、公钥信息的证书。商户可以使用平台证书中的公钥进行验签。
8、API密钥和APIv3密钥
都是对称加密需要使用的加密和解密密钥,
一定要保管好,不能泄露
。
APIv2
密钥对应
V2
版本的
API
APIv3
密钥对应
V3
版本的
API
四、在SpringBoot项目中导入微信支付功能
完整代码和详解请参考:https://gitee.com/BuLiangShuai01033/payment