PHP支付寶接口RSA驗證

2020-03-22 18:44:16

字體：大中小

供稿：網(wǎng)友

這兩天一直困擾的PHP RSA簽名驗證問題終于解決了，由于之前RSA接觸的不多，再加上官方至今還未有PHP的SDK可供參考，因此走了一些彎路，寫在這里和大家分享。
雖然支付寶官方還未提供相關(guān)SDK，PHP確實可以實現(xiàn)RSA方式的簽名，這點其實很重要，由于不熟悉，在遇到困難的時候，經(jīng)常會不由自主地想到是否PHP不支持RSA簽名，干脆用MD5得了，這樣就沒有了前進的動力。其實說穿了MD5和RSA簽名，不同的只是簽名方式的區(qū)別，其他的都一樣，因此我這里主要說一下如何用RSA進行簽名和驗簽。

首先你需要準備下面的東西：
php的openssl擴展里已經(jīng)封裝好了驗簽的方法openssl_verify。如果在Windows下的php.ini需要開啟Openssl模塊：extension=php_openssl.dll

商戶私鑰：

即RSA私鑰，按照手冊，按以下方式生成：

openssl genrsa -out rsa_private_key.pem 1024

商戶公鑰：

即RSA私鑰，按照手冊，按以下方式生成：
openssl rsa -in rsa_private_key.pem -pubout -out rsa_html' target='_blank'>public_key.pem

生成之后，按照手冊的說明，需要在簽約平臺上傳公鑰，需要注意的是，上傳的時候需要把所有的注釋和換行都去掉。

另外手冊中還有如下命令：

openssl pkcs8 -topk8 -inform PEM -in rsa_private_key.pem -outform PEM -nocrypt

該命令將RSA私鑰轉(zhuǎn)換成PKCS8格式，對于PHP來說，不需要。

支付寶公鑰：

根據(jù)手冊，在簽約平臺獲得。
如果你直接復(fù)制下來的話，會得到一個字符串，需要進行下面的轉(zhuǎn)換；
1）把空格變成換行
2）添加注釋
比如你復(fù)制下來的公鑰是：MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRBMjkaBznjXk06ddsL751KyYt

ztPFg0D3tu7jLqCacgqL+lbshIaItDGEXAMZmKa3DV6Wxy+l48YMo0RyS+dWze4M UmuxHU/v6tiT0ZTXJN3EwrjCtCyyttdv/ROB3CkheXnTKB76reTkQqg57OWW+m9j

TCoccYMDXEIWYTs3CwIDAQAB，那轉(zhuǎn)換之后為：
-----BEGIN PUBLIC KEY-----

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDRBMjkaBznjXk06ddsL751KyYt ztPFg0D3tu7jLqCacgqL+lbshIaItDGEXAMZmKa3DV6Wxy+l48YMo0RyS+dWze4M UmuxHU/v6tiT0ZTXJN3EwrjCtCyyttdv/ROB3CkheXnTKB76reTkQqg57OWW+m9j TCoccYMDXEIWYTs3CwIDAQAB -----END PUBLIC KEY----- 把公鑰保存在文件里。

注意這個是2048位的公鑰應(yīng)該是9行或者10行，不能為1行，不然PHP的openssl_pkey_get_public無法讀取，pub_key_id的結(jié)果為false，如果沒有-----BEGIN PUBLIC KEY-----和-----END PUBLIC KEY-----可以自己加上，最后保存到一個rsa_public_key.pem文件中。

好了，現(xiàn)在已經(jīng)有了所有的東西，先看簽名函數(shù)：

 1 <?php 2 /** 3  * 簽名字符串 4  * @param $prestr 需要簽名的字符串 5  * return 簽名結(jié)果 6  */ 7 function rsaSign($prestr) { 8     $public_key= file_get_contents('rsa_private_key.pem'); 9     $pkeyid = openssl_get_privatekey($public_key);10     openssl_sign($prestr, $sign, $pkeyid);11     openssl_free_key($pkeyid);12     $sign = base64_encode($sign);13     return $sign;14 }15 ?>

注意點：

1.$prestr的內(nèi)容和MD5一樣（參見手冊，但不包含最后的MD5密碼）
2.簽名用商戶私鑰
3.最后的簽名，需要用base64編碼
4.這個函數(shù)返回的值，就是這次請求的RSA簽名。

驗簽函數(shù)：

 1 <?php 2 /** 3  * 驗證簽名 4  * @param $prestr 需要簽名的字符串 5  * @param $sign 簽名結(jié)果 6  * return 簽名結(jié)果 7  */ 8 function rsaVerify($prestr, $sign) { 9     $sign = base64_decode($sign);10     $public_key= file_get_contents('rsa_public_key.pem');11     $pkeyid = openssl_get_publickey($public_key);12     if ($pkeyid) {13         $verify = openssl_verify($prestr, $sign, $pkeyid);14         openssl_free_key($pkeyid);15     }16     if($verify == 1){17         return true;18     }else{19         return false;20     }21 }22 ?>

注意點：
1.$prestr的內(nèi)容和MD5一樣（參見手冊）
2.$sign是支付寶接口返回的sign參數(shù)用base64_decode解碼之后的二進制
3.驗簽用支付寶公鑰
4.這個函數(shù)返回一個布爾值，直接告訴你，驗簽是否通過

支付寶官方提供的PHP版SDKdemo中只對MD5加密方式進行了處理，但android端和ios端請求支付寶加密方式只能用RSA加密算法，這時服務(wù)端PHP就無法驗證簽名了，所以需要對demo進行一些修改。

1、修改alipay_notify.class.php文件
verifyNotify 函數(shù)第46行
$isSign = $this->getSignVeryfy($_POST, $_POST['sign']);
改成
$isSign = $this->getSignVeryfy($_POST, $_POST['sign'], $_POST['sign_type']);

verifyReturn函數(shù)第83行
$isSign = $this->getSignVeryfy($_GET, $_GET['sign']);
改成
$isSign = $this->getSignVeryfy($_GET, $_GET['sign'],$_GET['sign_type']);

getSignVeryfy 函數(shù) 116行
function getSignVeryfy($para_temp, $sign) {
改成
function getSignVeryfy($para_temp, $sign,$sign_type) {
getSignVeryfy 函數(shù) 127行
switch (strtoupper(trim($this->alipay_config['sign_type']))) {
case 'MD5' : $isSgin = md5Verify($prestr, $sign, $this->alipay_config['key']); break; default : $isSgin = false; }
改成
switch (strtoupper(trim($sign_type))) {
case 'MD5' : $isSgin = md5Verify($prestr, $sign, $this->alipay_config['key']); break;
case 'RSA' : $isSgin = rsaVerify($prestr, $sign); break; default : $isSgin = false; } 2、新建一個alipay_rsa.function.php文件

 1 <?php 2 /* * 3  * RSA 4  * 詳細：RSA加密 5  * 版本：3.3 6  * 日期：2014-02-20 7  * 說明： 8  * 以下代碼只是為了方便商戶測試而提供的樣例代碼，商戶可以根據(jù)自己網(wǎng)站的需要，按照技術(shù)文檔編寫,并非一定要使用該代碼。 9  * 該代碼僅供學(xué)習(xí)和研究支付寶接口使用，只是提供一個參考。10  */11 /**12  * 簽名字符串13  * @param $prestr 需要簽名的字符串14  * return 簽名結(jié)果15  */16 function rsaSign($prestr) {17     $public_key= file_get_contents('rsa_private_key.pem');18     $pkeyid = openssl_get_privatekey($public_key);19     openssl_sign($prestr, $sign, $pkeyid);20     openssl_free_key($pkeyid);21     $sign = base64_encode($sign);22     return $sign;23 }24 /**25  * 驗證簽名26  * @param $prestr 需要簽名的字符串27  * @param $sign 簽名結(jié)果28  * return 簽名結(jié)果29  */30 function rsaVerify($prestr, $sign) {31     $sign = base64_decode($sign);32     $public_key= file_get_contents('rsa_public_key.pem');33     $pkeyid = openssl_get_publickey($public_key);34     if ($pkeyid) {35         $verify = openssl_verify($prestr, $sign, $pkeyid);36         openssl_free_key($pkeyid);37     }38     if($verify == 1){39         return true;40     }else{41         return false;42     }43 }44 ?>

最后要說的是官方提供的手冊上說的基本上都是正確的，只是有些地方?jīng)]有說的很詳細，開發(fā)的時候一定要多參考，大致就是這樣，祝大家好運。

PHP編程

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標記有誤，請第一時間聯(lián)系我們修改或刪除，多謝。

上一篇：php求一個網(wǎng)段開始與結(jié)束IP地址的方法

下一篇：良心推薦的五大敏捷好用的PHP開發(fā)框架