我自己琢磨出来的，只不过我用的是微信wechatpay-apache-httpclient 0.4.4版本 1.常见术语说明 - 证书：也就是常规意义上的rsa证书，包括公钥和私钥，一般敏感信息（姓名、身份证、手机）等都是通过rsa进行加密解密 - 秘钥：在微信官方文档叫做秘钥，在微信官方sdk里面叫做aesKey或apiKey，其实就是用于aes解密的密钥，一般的AEAD_AES_256_GCM都是通过aes加密解密 - 商户API证书：商户从[微信支付](https://pay.weixin.qq.com/)申请的证书，在【账户中心】->【API安全】->【申请API证书】菜单申请，申请的是rsa证书（一般会有3个文件，第一个p12后缀文件，这个一般用不到，另外两个pem后缀的文件，是商户的rsa公钥和私钥），一般商户证书有5年有效期 - 商户API V3秘钥：注意不是上面商户API证书的私钥，而是商户在【账户中心】->【API安全】->【设置APIv3密钥 】菜单设置的秘钥，这个是32 byte的字符串（ascii字符就行，不建议使用特殊字符） - 平台证书：在微信官方文档也叫做“微信支付平台证书”，也就是微信官方使用的rsa公钥（私钥是微信官方持有），这个公钥比较特殊，需要我们使用接口下载，而且这个rsa公钥可能会到期，需要我们定期下载，目前微信官方的（wechatpay-apache-httpclient v0.4.4）内置了定期更新微信支付平台证书的功能，所以我们一般不需要考虑微信支付平台证书过期的问题 - 签名：微信支付的api在请求或者响应里面一般都需要进行签名，目前微信官方的（wechatpay-apache-httpclient v0.4.4）自动集成了签名的功能，我们直接使用即可 2.快速接入开发 2.1 商户配置类 注意下方CertificatesManager如果需要注册多个商户号，则需要使用putMerchant方法，下面因为只有一个商户号，所以直接在里面putMerchant，如果有多个商户号，则需要针对每个不同商户号的证书、密钥做对应处理 @Component @Slf4j public class WechatPayApiV3Config { /** * 商户号（我们自己的商户号，在微信支付服务商平台里面申请的商户号） */ @Value("${wechat.merchant.id}") private String mchId; /** * apiv3证书密钥，（微信支付平台 -【账户中心】-【api安全】-【设置APIv3密钥 】这里设置的密钥） */ @Value("${wechat.merchant.api.v3.key}") private String apiV3Key; /** * 商户api证书序列号 （微信支付平台 -【账户中心】-【api安全】-【申请API证书】这里申请的证书序列号） */ @Value("${wechat.merchant.certificate.serial}") private String mchSerialNo; /** * 商户rsa私钥文本，就是微信支付平台 -【账户中心】-【api安全】-【申请API证书】最终下载下来的rsa证书私钥文件的内容 */ private static String privateKey; /** * 商户rsa私钥文本转成PrivateKey对象 */ public static PrivateKey merchantPrivateKey; static { try (InputStream in = WechatPayApiV3Config.class.getClassLoader().getResourceAsStream("wechatpayapiv3/apiclient_key.pem")) { byte[] bytes = in.readAllBytes(); privateKey = new String(bytes, StandardCharsets.UTF_8); merchantPrivateKey = PemUtil.loadPrivateKey(privateKey); } catch (IOException e) { log.error("load api client key error: {}", ExceptionUtil.getMessage(e)); } } /** * CertificatesManager利用了ConcurrentHashMap存储多个商户的证书和密钥信息，所以支持多个商户号使用 * * @return * @throws GeneralSecurityException * @throws IOException * @throws HttpCodeException */ @Bean(destroyMethod = "stop") public CertificatesManager certificatesManager() throws GeneralSecurityException, IOException, HttpCodeException { CertificatesManager certificatesManager = CertificatesManager.getInstance(); certificatesManager.putMerchant(mchId, new WechatPay2Credentials(mchId, new PrivateKeySigner(mchSerialNo, merchantPrivateKey)), apiV3Key.getBytes(StandardCharsets.UTF_8)); return certificatesManager; } /** * Verifier是通过CertificatesManager导出的，是严格关联到某一个商户号的，所以不同的商户号需要对应不同的Verifier，如果生产环境有多个商户号， * 则建议将不同商户号的Verifier缓存到Map里面，因为certificatesManager.getVerifier(mchId);每次都会创建一个新的Verifier对象，频繁创建对象不好 * * @param certificatesManager * @return * @throws NotFoundException */ @Bean public Verifier verifier(CertificatesManager certificatesManager) throws NotFoundException { return certificatesManager.getVerifier(mchId); } /** * CloseableHttpClient是微信支付的client，内置了http请求的签名以及签名解密验证功能，所以说我们一般无需手工处理签名的加密、解密、验证， * 而且CloseableHttpClient也是严格关联到某一个商户号的，所以不同的商户号需要对应不同的CloseableHttpClient，如果生产环境有多个商户号， * 则建议将不同商户号的CloseableHttpClient缓存到Map里面 * * @param verifier * @return */ @Bean public CloseableHttpClient wechatPayApiV3HttpClient(Verifier verifier) { return WechatPayHttpClientBuilder.create() .withMerchant(mchId, mchSerialNo, merchantPrivateKey) .withValidator(new WechatPay2Validator(verifier)) .build(); } } 2.2 手工生成signature签名 & 手工验证签名 我们发送请求给微信，都是需要对请求参数、url等进行签名，前面提到了微信的CloseableHttpClient内置了请求自动签名，响应签名解密验证，如果某些特殊情况下需要手工验证签名（例如：微信回调我们的服务） 注意：微信支付的签名都是使用rsa加密解密的。 2.2.1 商户侧生成签名 商户侧生成签名是需要使用商户自己的私钥进行加密，详情可以参考（wechatpay-apache-httpclient v0.4.4）WechatPay2Credentials的getToken方法，在这个方法中会使用到PrivateKeySigner对请求信息进行签名，一般通过微信的CloseableHttpClient发送的请求，内部自动做好了请求签名、响应签名验证，所以无需我们手工操作签名 2.2.2 商户侧验证签名 只有那些微信主动回调我们接口的地方，这时候就需要我们主动验证签名的有效性，防止黑客伪装签名数据，微信的响应或者回调，都会在http头部增加这么几个属性Wechatpay-Serial、Wechatpay-Signature、Wechatpay-Timestamp、Wechatpay-Nonce，我们拿到请求或响应body内容，接着通过verify进行验证签名 /** * 验证签名 * * @param body * @param nonce * @param serial * @param timestamp * @param signature * @return */ public boolean verify(String body, String nonce, String serial, String timestamp, String signature) { NotificationRequest request = new NotificationRequest.Builder().withSerialNumber(serial) .withNonce(nonce) .withTimestamp(timestamp) .withSignature(signature) .withBody(body) .build(); return verifier.verify(request.getSerialNumber(), request.getMessage(), request.getSignature()); } 2.3 数据加密解密 2.3.3 AEAD_AES_256_GCM解密 /** * aes解密 * * @param nonce * @param associatedData * @param ciphertext * @return */ public String aesDecrypt(String nonce, String associatedData, String ciphertext) throws GeneralSecurityException { AesUtil aesUtil = new AesUtil(apiV3Key.getBytes(UTF_8)); return aesUtil.decryptToString(associatedData.getBytes(UTF_8), nonce.getBytes(UTF_8), ciphertext); } 2.3.3 敏感信息加密 发送给微信的敏感信息，需要使用微信支付平台证书（rsa公钥）进行加密，加密之后，还需要在请求头增加一个Wechatpay-Serial的头部，这个头部就是微信支付平台证书的序列号（如何拿到序列号参考下列代码） //微信支付平台证书（rsa公钥），在CertificatesManager底层会定期更新的 X509Certificate certificate = verifier.getValidCertificate(); //拿到证书序列号（10进制的内容） BigInteger serialNumber = certificate.getSerialNumber(); //转成16进制字符串 String wechatPaySerial = serialNumber.toString(16).toUpperCase(); //发送给微信的敏感信息加密 String encrypt = RsaCryptoUtil.encryptOAEP("明文内容", certificate); HttpPost post = new HttpPost(url); String requestBody = JSONObject.toJSONString(request); StringEntity entity = new StringEntity(requestBody, APPLICATION_JSON); post.setEntity(entity); //设置请求头部Wechatpay-Serial，注意这里是微信支付平台证书序列号，不是商户证书序列号，如果用了商户证书序列号则微信会返回{"code":"PARAM_ERROR","message":"平台证书序列号Wechatpay-Serial错误"} post.addHeader(WechatPayHttpHeaders.WECHAT_PAY_SERIAL, wechatPaySerial); //设置请求头部ACCEPT，需要设置accept请求头，否则微信api会报错 {"code":"INVALID_REQUEST","message":"头部信息不完整"} post.addHeader(ACCEPT, APPLICATION_JSON.toString()); CloseableHttpResponse response = wechatPayApiV3HttpClient.execute(post); int statusCode = response.getStatusLine().getStatusCode(); byte[] bytes = response.getEntity().getContent().readAllBytes(); String content = new String(bytes, UTF_8); 2.3.4 敏感信息解密 微信返回响应或者回调我们接口的敏感信息，微信使用了商户的公钥进行加密，所以我们自己需要用商户私钥解密 //解密密文信息 String message = RsaCryptoUtil.decryptOAEP("密文信息", WechatPayApiV3Config.merchantPrivateKey)