首次曝光！支付宝支付加密规则梳理，写的太好了！-轻识

作者：叁滴水
博客：https://blog.csdn.net/qq_30285985/

前言

支付是一个安全等级很高的场景，系统间交互的每一条数据的泄露都有可能造成及其大的损失。因此支付时系统间交互的每一条数据都会采取加密措施。

这里梳理一下支付宝支付时用到的加密规则，请大家参考。

商家服务器和支付宝服务器交互的过程中传输的信息异常敏感，所以，在交互时必须防止中间人对于信息的篡改。例如步骤2将商品的金额改为0，支付宝就误认为是转账0元。

数字签名解决了交互时这一安全问题。它可以验证一条消息或者文档的真实性。在支付宝支付的接口中，有一个sign参数用来填写签名。这个签名作用是为了防止信息伪造。通过这种方式可以有效的防止消息在传递过程中被篡改。

数字签名是一个信息安全的保障，它的实现依赖于双方系统的密钥。

签名过程如下：

验证签名（验签）：

接收方接收文档并使用相同的散列算法独立计算文档散列。

接着，她使用公钥对消息进行解密，将散列解码出来，再确认使用的散列算法是否正确，解密出的散列是否与本地计算的相同。

支付宝采用RSA非对称加密对信息进行签名。

如下图，步骤2商户服务器通过红色应用私钥(priv key 2)计算签名，支付宝通过红色应用公钥(pub key 2)进行验签；步骤6支付宝服务器通过蓝色支付宝私钥(priv key 6)计算签名，商家通过蓝色支付宝公钥(pub key 6)验证签名。

了解了签名计算原理之后，再去管理平台设置app信息的时候就游刃有余了，我以沙箱环境为例子。

如上图，说明使用RSA2加密方式，HASH算法采用SHA256。进入设置之后要设置应用公钥和保存支付宝公钥。

签名虽然可以防止中间人的信息篡改，但是无法防止中间人信息查看。比如步骤2中，向支付宝发送的商品金额，中间人即可获取每天中该商家交易的金额。信息在网络中传输感觉是一个虚无缥缈的过程，网络中信息有可能被不法分子进行拦截。

因此在支付的过程中，会推荐使用https协议进行交互，使得交互的信息加密传输。而且，支付宝的很多接口还支持使用AES加密之后进行传输，使得信息更加安全。

AES加密是一种对称加密算法，对称加密算法相对于非对称加密要简单一点。系统间只存在一个密钥，这个密钥可以用来加密也可以用来解密。

在与支付宝交互的信息可以通过AES加密。防止信息的泄露，官方对接口的解释如下：

若 OpenAPI 无 bizContent 传参则无法使用 AES 密钥加密，否则会报错当前 API 不支持加密请求。例如：alipay.user.info.share(支付宝会员授权信息查询接口)未使用 bizContent 传参则无法使用 AES 密钥加密。

AES 密钥是对接口请求和响应内容进行加密，密文无法被第三方识别，从而防止接口传输数据泄露。
RSA 密钥是对接口请求和响应内容进行签名，开发者和支付宝开放平台分别加签验签，以确认接口传输的内容没有被篡改。不论接口内容是明文还是密文，RSA 均可正常签名。
开发者可对请求参数先做 AES 加密，然后对密文进行 RSA 签名。

读到这里了，如果对你有帮助就留个赞吧。

感谢您的阅读，也欢迎您发表关于这篇文章的任何建议，关注我，技术不迷茫！小编到你上高速。

· END ·

最后，关注公众号互联网架构师，在后台回复：2T，可以获取我整理的 Java 系列面试题和答案，非常齐全。

正文结束