微信支付开放api接口（微信支付API接口）

本篇文章给大家谈谈微信支付开放api接口，以及微信支付API接口对应的知识点，希望对各位有所帮助，不要忘了收藏本站喔。 今天给各位分享微信支付开放api接口的知识，其中也会对微信支付API接口进行解释，如果能碰巧解决你现在面临的问题，别忘了关注本站，现在开始吧！

本文目录一览：

• 1、开放平台API接口安全性设计——微信支付为例
• 2、微信小程序支付API
• 3、JS交互微信之JSAPI支付

开放平台API接口安全性设计——微信支付为例

API接口，类似 http://mypay.com/refund/order_id=123mch_id=123 ，这个请求我以商户mch_id=123的身份给订单号为order_id=123退款，如果服务器不辩别请求发起者的身份直接做相应的操作，那是及其危险的。

一般的，在PC端，我们是通过加密的cookie来做会员的辨识和维持会话的；但是cookie是属于浏览器的本地存储功能。APP端不能用，所以我们得通过token参数来辨识会员；而这个token该如何处理呢？
延伸开来，接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用。

一般来说，在前端对数据做加密或者前面，是不现实的。前后端使用HTTP协议进行交互的时候，由于HTTP报文为明文，所以通常情况下对于比较敏感的信息可以通过在前端加密，然后在后端解密实现"混淆"的效果，避免在传输过程中敏感信息的泄露（如，密码，证件信息等）。不过前端加密只能保证传输过程中信息是‘混淆’过的，对于高手来说，打个debugger，照样可以获取到数据，并不安全，所谓的前端加密只是稍微增加了攻击者的成本，并不能保证真正的安全。即使你说在前端做了RSA公钥加密，也很有可能被高手获取到公钥，并使用该公钥加密数据后发给服务端，所以务必认为前端的数据是不可靠的，服务端要加以辩别。敏感信息建议上https。

所以一般建议上https，敏感信息md5混淆，前端不传输金额字段，而是传递商品id，后端取商品id对应的金额，将金额等参数加签名发送到支付系统。金额可以是明文的。

token授权机制 ：用户使用用户名密码登录后，后台给客户端返回一个token（通常是UUID），并将Token-UserId键值对存储在redis中，以后客户端每次请求带上token，服务端获取到对应的UserId进行操作。如果Token不存在，说明请求无效。
弊端 ：token可以被抓包获取，无法预防MITM中间人攻击

用户每次请求都带上当前时间的时间戳timestamp，服务器收到请求后对比时间差，超过一定时长（如5分钟），则认为请求失效。时间戳超时机制是防御DOS攻击的有效手段。

将token，timestamp等其他参数以字典序排序，再加上一个客户端私密的唯一id（这种一般做在服务端，前端无法安全保存这个id）或使用私钥签名，将前面的字符串做MD5等加密，作为sign参数传递给服务端。

地球上最重要的加密算法：非对称加密的RSA算法。公钥加密的数据，可以用私钥解密；私钥签名（加密）的数据，可以用公钥验签。

RSA原理是对极大整数做因数分解，以下摘自维基百科。

暂时比较忙没时间，将于7月29日晚更新。
来更新啦。
微信支付安全规范，可以查看官方文档 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3
第1点中，其签名算法最重要的一步，是在最后拼接了商户私密的API密钥，然后通过md5生成签名，这时即使金额是明文也是安全的，如果有人获取并修改了金额，但是签名字段他是无法伪造的，因为他无法知道商户的API密钥。当然，除了微信支付的拼接API生成签名的方法，我们也可以通过java自带的security包进行私钥签名。其中nonce随机字符串，微信支付应该做了校验，可以防止重放攻击，保证一次请求有效，如果nonce在微信支付那边已经存在，说明该请求已执行过，拒绝执行该请求。

阮一峰老师的博客-RSA算法原理： http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html
维基百科： https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95

微信小程序支付API

2019年12月26日

文档：

https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=7_7

一.一般要开发的两个接口

1.统一下单

https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=9_1

2.申请退款

https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=9_4

3.签名规则

https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=4_3

二.小程序支付时序图

关键就是wx.requestPayment(object)

2.ps商户系统和微信支付系统主要交互：

1、小程序内调用登录接口，获取到用户的openid,api参见公共api【 小程序登录API 】

2、商户server调用支付统一下单，api参见公共api【 统一下单API 】

3、商户server调用再次签名，api参见公共api【 再次签名 】

4、商户server接收支付通知，api参见公共api【 支付结果通知API 】

5、商户server查询支付结果，api参见公共api【 查询订单API 】

三.微信小程序支付实现步骤

1.获取登录凭证code 并传给后端服务器

2.后端服务器请求微信服务器获取openid和session_key，并将openid返回给小程序

3.小程序客服端发起支付请求给后端服务器 （带上openid参数）

4.后端服务器接收到openId后，调用微信支付统一下单接口（后端调用的，用来给小程序获取支付参数）

5.拿到后端服务器返回的5个参数后，调用最终支付接口wx.requestPayment

6.微信服务器进行支付成功后，通知后端服务器。

JS交互微信之JSAPI支付

本篇为 JS交互微信系列篇 的第四篇 微信JSAPI支付 ，记录在微信内置浏览器内用调用微信支付过程。

JSAPI支付是用户在微信中打开商户的H5页面，商户在H5页面通过调用微信支付提供的JSAPI接口调起微信支付模块完成支付。

要拥有两个账号：

要开通产品中心的JSAPI支付。然后 产品中心=开发配置=支付配置=公众号支付配置 绑定支付授权目录，写已通过ICP备案的域名。
另外，要在ip白名单中，配置测试地址ip和线上生产地址ip，不然各种回调都会失败！

由于在微信内支付需要获取用户的 openid ，要获取它则必须通过网页授权配置。在公微信公众平台中， 公众号设置=功能设置=网页授权域名 中按要求填写。

在支付流程方面，重点依然都在后端处理，前端方面步骤比较简单。本文只叙述前端内容。

在将要进入支付的前一页面，直接接入微信授权，然后跳转进要支付的那个页面。举个例子：有a、b两个页面，在b页面用到支付，b页面由a页面跳转而来。那么在a页面跳b页面的时候，别直接跳转b的url，而是跳转到：
https://open.weixin.qq.com/connect/oauth2/authorize?appid={appId}redirect_uri={b.html}response_type=codescope=snsapi_base#wechat_redirect
我们注意到，这里有这两个需要自己写的参数： appid 和 redirect_uri ，意义是：

另外，还有一个注意的点是， b.html这个url我们要进行encode转码，不然地址解析可能会出现问题！

上一步执行完后，在微信浏览器中，我们会得到一个链接，类似：
b.html?code={code}state=#/
在此处，我们得到了一个code值，这就是我们获取 openid 的凭证了。
获取方法当然是把值传给后台，后台去处理啦~

在上一步中，我们拿到code值后，就可以提交一些信息给后端了，比如商品相关属性、总价等，另外加上code值，传给后端。后端一顿操作后，返回给前端。我们需要的参数如下（后端返回下面这些参数）：

上个步骤拿到需要交互微信的参数后，就开始调用微信的支付接口了，如下：

至此，调用微信JSAPI来完成在微信内的支付就完成了。

关于微信支付开放api接口和微信支付API接口的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。 微信支付开放api接口的介绍就聊到这里吧，感谢你花时间阅读本站内容，更多关于微信支付API接口、微信支付开放api接口的信息别忘了在本站进行查找喔。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。