集成支付宝钱包支付iOS SDK的方法与经验

下载

首先,你要想找到这个SDK,都得费点功夫。现在的SDK改名叫移动支付集成开发包了。

https://b.alipay.com/order/productDetail.htm?productId=2013080604609654&tabId=4#ps-tabinfo-hash

Baidu和Googlep排在前面的支付宝开放平台,里面的SDK已经是2年前的版本了,而且还不支持64位架构。

文档

 

压缩包里有两个相关文档 :

《支付宝钱包支付接口开发包2.0标准版.pdf》

《支付宝钱包支付接口开发包2.0标准版接入与使用规则.pdf》

iOS相关内容可以主要看第一个文档,第二个文档名字和里面写的不一样,内容其实是个附录;文档里面多个平台都涉及到了,内容有些杂乱。下面先解释下整体SDK的流程和要做的事,就好对症下药找文档内相应的内容了。

流程

摘自第一个文档《支付宝钱包支付接口开发包2.0标准版.pdf》

图中的“商户客户端”就是我们的iOS客户端需要做的事情:

  • 调用支付宝支付接口

  • 处理支付宝返回的支付结果

在调用支付宝支付接口前,我们还需要先生成一个订单,文档中描述时,是将这步也放在客户端来做了,但也可以在服务器端生成这个订单(图中支付宝会在支付成功后通知服务器端,所以在服务器端生成订单的话,你可以掌握所有订单,而且也会更安全):

  • 生成订单(可以在iOS客户端内生成,也可以在服务器端生成)

  • 调用支付宝支付接口,发送订单

  • 处理支付宝返回的支付结果

其实对于业务来说,这些步骤已经够了,但是有一个安全性问题,你肯定不希望你接收到的支付结果被截获修改,所以,这就需要在生成订单和处理支付结果的时候做一个安全性校验:

生成订单时对数据签名,收到支付结果时对数据进行签名验证,以检验数据是否被篡改过。
支付宝目前只支持采用RSA加密方式做签名验证。

RSA加密算法 除了可加解密外,还可用来作签名校验。
简单的说,RSA会生成一个私钥和一个公钥,私钥你应该独自保管,公钥你可以分发出去。
做签名验证时,你可以用私钥对需要传输的数据做签名加密,生成一个签名值,之后分发数据,接收方通过公钥对签名值做校验,如果一致则认为数据无篡改。

具体到支付宝使用RSA做签名验证,就是在生产订单时,需要使用私钥生成签名值;在处理返回的支付结果时,需要使用公钥验证返回结果是否被篡改了。

具体需要对哪些值,怎样生成签名,对哪些值最签名验证,可以在第一个文档中找找,后面我会简单提一下,但还是以文档或实践为准吧。

集成

清楚了流程后,就好理解怎么集成了。

支付SDK

如果只需要发送订单和处理支付返回结果,只需要添加AlipaySDK.bundle和AlipaySDK.framework就行了。

这里再吐槽下,之前用的旧版本,和现在的版本相比,还不光是把类名字给改了,原先是用的类方法,现在新版又给改成了单例了。。还真是任性啊,这要是哪家小厂的SDK,估计早被弃用了把。。

发送订单的方法:

- (void)payOrder:(NSString *)orderStrfromScheme:(NSString *)schemeStrcallback:(CompletionBlock)completionBlock;
  • 如果手机内没安装支付宝的app,会直接展现支付宝web支付界面,通过callback返回支付结果;

  • 如果手机内安装了支付宝的app,会跳转到支付宝的app支付,然后通过openURL的回调返回支付结果。

支付宝的SDK只给了一个处理返回结果的方法,而不像其他第三方的SDK提供一个处理openURL的方法,所以你需要通过DEMO或者在第二个文档里找到处理openURL的方式:

    if ([url.host isEqualToString:@"safepay"]) {[[AlipaySDK defaultService] processOrderWithPaymentResult:urlstandbyCallback:^(NSDictionary *resultDic) {NSLog(@"result = %@",resultDic);}]; }

SDK也提供了一个处理openURL返回结果的方法

- (void)processOrderWithPaymentResult:(NSURL *)resultUrlstandbyCallback:(CompletionBlock)completionBlock;

两个回调block都统一定义为typedef void(^CompletionBlock)(NSDictionary *resultDic);,

返回了一个字典,但是SDK里完全没有提示有哪些key。。

你可以在文档里找到,或者自己实际试一下,返回的信息如下:

  • resultStatus,状态码,SDK里没对应信息,第一个文档里有提到:

      9000 订单支付成功8000 正在处理中4000 订单支付失败6001 用户中途取消6002 网络连接出错
  • memo, 提示信息,比如状态码为6001时,memo就是“用户中途取消”。但千万别完全依赖这个信息,如果未安装支付宝app,采用网页支付时,取消时状态码是6001,但这个memo是空的。。(当我发现这个问题的时候,我就决定,对于这么不靠谱的SDK,还是尽量靠自己吧。。)

  • result,订单信息,以及签名验证信息。如果你不想做签名验证,那这个字段可以忽略了。。

如果你对支付的安全性不那么在意或重视的话,到这里就可以完成支付宝的集成了。

如果想更加安全,还是需要增加下面的签名验证的。

签名验证

首先,RSA只是一种算法,所以你可以使用任何一种开源的、或者自己去实现这个算法来实现签名和验证的目的。

在整个流程当中,因为涉及到了RSA公钥、私钥的生产,RSA的签名、验证签名,SHA1值的计算,base64和URL编码,所以支付宝用了一个开源的代码来统一解决这些问题,就是openssl(顺便再吐槽下,这DEMO里一放openssl,不知道又会引来多少公司的产品里使用openssl了,估计阿里自己也没少用,什么时候都能跟老罗、华为一样去赞助点呢。。)

如果你想省事,也用openssl,那你需要把这些东西都加入到项目中:DEMO中的openssl目录头文件,两个库文件libcrypto.a libssl.a,DEMO里支付宝自己写的Util目录

订单签名

上面说了,订单签名应该用私钥,但是把私钥放到app里其实本身就不安全,因为你的app是分发到用户手里的,私钥应该放在自己的手里,分发出去的应该是公钥。

所以私钥最好是放在自己的服务器上,订单加密这个工作放在服务器端来做,服务器将包含签名的订单信息返回给app,app再通过SDK发送给支付宝,这样会更安全些;而且服务器也能掌握所有的订单状况。

如果你非要将私钥集成到app里,那可以参考SDK的DEMO,因为这个DEMO就是在app本地通过私钥做的订单签名。。

支付结果签名验证

上面的回调block提到了返回的内容,返回的支付结果中的result字段里是带有订单信息和签名信息的,所以签名验证就是需要这个字段的值。

文档中有一个这个字段的例子,实际结果没有换行,我换一下行便于阅读:

partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="测试"&body="测试测试"&total_fee="0.01"&notify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"
&sign_type="RSA"
&sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="

总共分为三个部分

  • 第一部分是订单信息,每个字段的具体含义可以在文档里找;

  • 中间sign_type是签名用的算法,文档里说了,目前只支持RSA;

  • 最后的sign就是签名值。

验证的步骤如下:

  • 首先把订单信息和签名值分别提取出来(SDK居然都不给处理好。。)

      订单信息就是sign_type的连字符&之前的所有字符串签名值是sign后面双引号内的内容,注意签名的结尾也是=,所以不要用split字符串的方式提取
  • 如果你想简单,可以直接使用Util目录下的DataVerifier来作签名验证

      - (BOOL)verifyString:(NSString *)string withSign:(NSString *)signString;第一个参数就是订单信息,第二个参数就是签名值。

其实不使用openssl,用其他第三方RSA的开源代码也是可以的。可以看下DEMO里openssl_wrapper的源码和SDK的文档。

  • 对于订单信息,先做一个base64编码(DEMO中这个还要调openssl来实现。。),再计算SHA1的值(这个也可以完全不用openssl,苹果的库中都有的。。),然后再签名比对。

  • 对于公钥,如果使用其他第三方代码,需要注意格式问题。支付宝的DEMO实现中,是把这个公钥又转回成openssl生成的本地文件格式,然后再写入本地文件,再让openssl读取出来使用。。

以上,就是支付宝 iOS SDK的一些介绍。

总体来说,我觉得能靠自己处理的地方还是尽量不要依赖这个不太靠谱的SDK了。

 

转载于:https://www.cnblogs.com/fengmin/p/5979419.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/270687.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Spring Boot单元测试报错java.lang.IllegalStateException: Could not load TestContextBootstrapper [null]

一:运行test类方法时候报错 报错 java.lang.IllegalStateException: Could not load TestContextBootstrapper [null]. Specify BootstrapWiths value attribute or make the default bootstrapper class available.at org.springframework.test.context.BootstrapU…

PHP底层原理分析和底层扩展编写

运行原理 http://www.phpchina.com/article-40203-1.htmlPHP底层开发 可以理解为就是C的开发,那么简单地说如果我们要查看某个PHP函数的底层实现怎么看呢?需要PHP源码包:http://www.php.net/downloads.php主要目录是Zend 和ext(写扩展的目录…

硬件知识:DP接口和HDMI接口对比,看完你就懂了

目录 一、DP接口 二、HDMI接口 三、总结 电脑显示器高清传输通过会用到两个接口,就是DP接口和HDMI接口,今天电脑学习小编带大家对比一下这两个接口。 一、DP接口 DisplayPort缩写DP,是一个由PC及芯片制造商联盟开发,视频电子标准协…

SpringBoot集成JPA用法笔记

今天给大家整理SpringBoot集成JPA用法。希望对大家能有所帮助!搭建SpringBoot项目新建配置文件 application.ymlserver: port: 8090 spring: #通用的数据源配置datasource: driverClassName: com.mysql.jdbc.Driver url: jdbc:mysql://localhost:3306/test?useSSLf…

显示器知识:分辨率1080P、2K、4K、8K相关知识介绍,看完你就懂了

现在各种电视和显示器都会出现4K、高清等字样。4K到底意味着什么呢? 它比超高清(Ultra HD)的像素还要多吗? 如果4K是1080p的四倍,那是否意味着4K就等于4320p? 以上三个问题按顺序回答:视情况而定;有时候是这…

c++大文本比较_Excel – 将文本转换为数值,第二种方法会的请举左手

工作中经常收到的数据是从系统直接导出的,有的数据看上去是数字,其实是文本格式。这种数字在 Excel 看来就是个文本,无法参与任何计算分析。所以首先就要把它们转换成真正的数值。案例:下图 1 中的 B、C 列均为文本格式&#xff0…

网络知识:整理各种路由器组网方法!网跨段也能访问

很多朋友问到,针对不同网段的两个电脑设备如何实现通信?这个通常在企业办公中会遇到,我们经常会遇到企业随着员工或部门的增多,增加了一个路由器,分了两个网段,A子网和B子网就处于不同网段,当网…

Java技术:serialVersionUID作用介绍

serialVersionUID概念介绍英文翻译的意思是序列化版本号。凡是实现Serializable接口的类都会有一个表示序列化版本标识符的静态变量。serialVersionUID的生成方式默认的1L:比如:private static final long serialVersionUID 1L; 。根据类名、接口名、成…

服务雪崩

假设存在如下调用链 而此时,Service A的流量波动很大,流量经常会突然性增加!那么在这种情况下,就算Service A能扛得住请求,Service B和Service C未必能扛得住这突发的请求。 此时,如果Service C因为抗不住…

华为的型号命名规则_华为交换机s2700系列命名规则

华为交换机s2700系列命名规则华为交换机s2700系列命名规则上一篇我们聊到S2700系列机型的命名规则方法。基于要满足不同用户的市场需求,S2700系列提供了多款机型。咱们就以S2700-26TP-PWR-EI、S2710-52P-SI-AC、S2700-52P-EI-AC以及S2700-9TP-SI为模板来讲解S2700系…

电脑技巧:Win10操作系统关闭这几个功能,可以大幅度提升电脑的运行速度

目录 一、禁用Cortana语音助手 二、关闭onedrive自动同步服务 三、关闭微软自带的Windows Search服务 四、关闭windows自动更新 五、清理缓存文件 六、减少不必要开机启动项 今天小编给大家介绍一下Win10操作系统需要关闭的几个功能,能让你的电脑飞速运转&#xff0…

硬件知识:视频分配器、画面分割器、矩阵、延长器相关知识介绍

目录 1、视频分配器 2、视频切换器 3、视频矩阵 4、画面分割器 5、延长器 你知道视频分配器,画面分割器,矩阵各自的作用都是什么吗?今天小编就为大家详细的介绍下它们各自的区别。 1、视频分配器 视频分配器是一种把一个源平均分配成多路视频…

mysql 交叉连接_MySQL教程77-CROSS JOIN 交叉连接

之间所讲的查询语句都是针对一个表的,但是在关系型数据库中,表与表之间是有联系的,所以在实际应用中,经常使用多表查询。多表查询就是同时查询两个或两个以上的表。在 MySQL 中,多表查询主要有交叉连接、内连接和外连接…

电脑常见的VGA、DVI、PS/2、USB等接口知识笔记

我们经常见到电脑和网络设备上都少不了VGA、DVI、PS/2、USB等常用接口,那些接口里面有多个针脚,他们每个针脚都有自己的用途,今天电脑学习小编就带大家一起看看这些接口神秘用途。 现在很多朋友们可能会遇到VGA线或HDMI线不够长,或…

数据库:MySQL、HBase、ElasticSearch三者对比

1、概念介绍 MySQL:关系型数据库,主要面向OLTP,支持事务,支持二级索引,支持sql,支持主从、Group Replication架构模型(本文全部以Innodb为例,不涉及别的存储引擎)。 HBas…

SpringBoot集成Mybatis用法笔记

今天给大家整理SpringBoot集成Mybatis用法笔记。希望对大家能有所帮助&#xff01;搭建一个SpringBoot基础项目。具体可以参考SpringBoot:搭建第一个Web程序引入相关依赖<dependencies><dependency><groupId>org.springframework.boot</groupId><ar…