支付寶app支付的流程如下（圖片來自支付寶開放平臺(tái)）

本文重點(diǎn)討論支付寶的簽名驗(yàn)證機(jī)制，即圖中的第二步。

支付寶簽名采用RSA算法。RSA是一種用非對(duì)稱加密算法。只有短的RSA鑰匙才可能被強(qiáng)力方式解破。到2008年為止，世界上還沒有任何可靠的攻擊RSA算法的方式。只要其鑰匙的長(zhǎng)度足夠長(zhǎng)，用RSA加密的信息實(shí)際上是不能被解破的。目前被破解的最長(zhǎng)RSA密鑰是768個(gè)二進(jìn)制位。也就是說，長(zhǎng)度超過768位的密鑰，還無法破解（至少?zèng)]人公開宣布）。因此可以認(rèn)為，1024位的RSA密鑰基本安全，2048位的密鑰極其安全。支付寶建議采用2048位秘鑰。

簡(jiǎn)單來說，簽名主要包含兩個(gè)過程：摘要和非對(duì)稱加密，首先對(duì)需要簽名的數(shù)據(jù)做摘要（類似于常見的MD5）后得到摘要結(jié)果，然后通過簽名者的私鑰對(duì)摘要結(jié)果進(jìn)行非對(duì)稱加密即可得到簽名結(jié)果。

支付寶開放平臺(tái)目前支持兩種簽名算法

開放平臺(tái)簽名算法名稱 標(biāo)準(zhǔn)簽名算法名稱 備注

RSA2	SHA256WithRSA	（強(qiáng)烈推薦使用），強(qiáng)制要求RSA密鑰的長(zhǎng)度至少為2048，
RSA	SHA1WithRSA	對(duì)RSA密鑰的長(zhǎng)度不限制，推薦使用2048位以上

螞蟻金服官方的說法是RSA2的安全性要強(qiáng)于RSA，所以建議采用RSA2進(jìn)行簽名。

使用支付寶簽名首先要通過簽名生成工具生成應(yīng)用公鑰和私鑰，將公鑰上傳至支付寶開放平臺(tái)，同時(shí)平臺(tái)會(huì)生成支付寶公鑰，支付寶會(huì)在接口返回信息時(shí)使用SHA1withRsa進(jìn)行加密，這個(gè)公鑰客戶端不會(huì)用到。

客戶端的簽名流程如下：

1) 組裝待簽名字符串? 2) 調(diào)用簽名函數(shù) a. "使用各自語言對(duì)應(yīng)的SHA1WithRSA簽名函數(shù)利用商戶私鑰對(duì)待簽名字段進(jìn)行簽名，并進(jìn)行Base64編碼。" --from aliDoc (?r:網(wǎng)關(guān)為mapi，商戶即合作伙伴，利用合作伙伴密鑰和partner_id 進(jìn)行簽名) 3) 使用簽名 "得到的簽名結(jié)果也是一個(gè)字符串，這個(gè)字符串就是sign參數(shù)的值，將這個(gè)字符串賦值給sign參數(shù)并發(fā)起請(qǐng)求。"--from aliDoc

驗(yàn)簽流程： 1) 組裝待驗(yàn)簽字符串 2) 調(diào)用簽名驗(yàn)簽函數(shù) “RSA：使用各自語言對(duì)應(yīng)的SHA1WithRSA簽名驗(yàn)證函數(shù)，傳入待驗(yàn)簽字段、支付寶公鑰、參數(shù)sign對(duì)應(yīng)的值（該參數(shù)為支付寶返回）進(jìn)行驗(yàn)簽，根據(jù)返回結(jié)果判定是否驗(yàn)簽通過。

參考：https://doc.open.alipay.com/doc2/detail?treeId=58&articleId=103596&docType=1

PS：支付寶目前同時(shí)支持舊版和新版兩種接口，兩種接口分別使用獨(dú)立的api和公私鑰簽名，不能混用，舊版的公私鑰不能用于新版api，同樣，新版的公私鑰也不能用于舊版的api。

總結(jié)

以上是生活随笔為你收集整理的支付宝签名验证机制的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。