微信支付-通知验签始终不通过的问题

最新推荐文章于 2025-03-15 13:10:41 发布
最新推荐文章于 2025-03-15 13:10:41 发布
阅读量4.1k 收藏 10
点赞数 6
分类专栏: SpringBoot 微信 文章标签: 微信 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jingchao1998/article/details/128309046
版权

记一次微信支付验签始终异常问题,折腾了两宿,最后是 body 有问题 o(╥﹏╥)o

这里使用的是

 <dependency>
            <groupId>com.github.wechatpay-apiv3</groupId>
            <artifactId>wechatpay-java</artifactId>
            <version>0.2.1</version>
</dependency>

噩梦的开始与问题的发现

我最开始的写法:

public Map<String, String> nation(HttpServletRequest request, 
							      @RequestBody PayResult payResult) {
 RequestParam requestParam = new RequestParam.Builder()
                .serialNumber(payConfig.getTenantAccount().getMerchantSerialNumber())
                .nonce(payResult.getResource().getNonce())
                .signature(signature)
                .timestamp(timestamp)
                // 若未设置signType,默认值为 WECHATPAY2-SHA256-RSA2048
                .signType(signType)
                .body(JSON.toJSONString(payResult))
                .build();
}

我这里是使用 RequestBody 接收的参数,因为官方文档说明通知参数类型为 application/json,如此解析并没有问题,也可以获取到微信发过来的数据
但是问题也是出在这里,o(╥﹏╥)o,无意间搜到了这篇文章https://developers.weixin.qq.com/community/pay/doc/00020ad2448618e57a1b5faf250800
里面提到,微信验签时 请求体 的字符串顺序不能发生任何改变,以退款通知为例,验签时传入的对象键值对顺序必须与为文档保持一致:

{
    "id":"EV-2018022511223320873",
    "create_time":"2018-06-08T10:34:56+08:00",
    "resource_type":"encrypt-resource",
    "event_type":"REFUND.SUCCESS",
    "summary":"退款成功",
    "resource" : {
        "original_type": "refund",
        "algorithm":"AEAD_AES_256_GCM",
        "ciphertext": "...",
        "associated_data": "",
        "nonce": "..."
    }
}

@RequestBody 在解析参数时会改变参数顺序,我用 .body(JSON.toJSONString(payResult)) 传进去就出了问题

问题的解决

所以最后只能在HTTP的流中获取请求体

	@PostMapping("nation")
    @NoAuth
    public Map<String, String> nation(HttpServletRequest request) throws IOException {
        VerdureRequestWrapper requestWrapper = new VerdureRequestWrapper(request);
        logger.info("接收微信通知:");
        logger.info(requestWrapper.getRequestParams());
        String signature = RequestUtils.getHeader(request, "Wechatpay-Signature");
        String timestamp = RequestUtils.getHeader(request, "Wechatpay-Timestamp");
        String signType = RequestUtils.getHeader(request, "Wechatpay-Signature-Type");
        String serial = RequestUtils.getHeader(request, "Wechatpay-Serial");
        String nonce = RequestUtils.getHeader(request, "Wechatpay-Nonce");
        logger.info("===================================================:");
        Enumeration<String> headerNames = request.getHeaderNames();
        while(headerNames.hasMoreElements()){
            String element = headerNames.nextElement();
            System.out.println(element+":"+request.getHeader(element));
        }
        PayResult payResult = JSON.parseObject(requestWrapper.getRequestParams(), PayResult.class);
        // 构造 RequestParam
        // 获取HTTP请求头中的 Wechatpay-Signature 、 Wechatpay-Nonce 、 Wechatpay-Timestamp 、 Wechatpay-Serial 、 Request-ID 、Wechatpay-Signature-Type 对应的值,构建 RequestParam 。
        RequestParam requestParam = new RequestParam.Builder()
                .serialNumber(serial)
                .nonce(nonce)
                .signature(signature)
                .timestamp(timestamp)
                // 若未设置signType,默认值为 WECHATPAY2-SHA256-RSA2048
                .signType(signType)
                .body(requestWrapper.getRequestParams())
                .build();

        // 初始化 NotificationConfig
        NotificationConfig rsaNotificationConfig = new RSANotificationConfig.Builder()
                .apiV3Key(this.payConfig.getTenantAccount().getApiV3Key())
                .certificates(this.payConfig.getWechatCertificate())
                .build();
        // 初始化 NotificationParser
        NotificationParser parser=new NotificationParser(rsaNotificationConfig);
        WePayNation nation = new WePayNation();
        nation.setSummary(payResult.getSummary());
        nation.setResourceType(payResult.getResource_type());
        nation.setRequestData(JSON.toJSONString(payResult.getResource()));
        nation.setOriginalType(payResult.getResource().getOriginal_type());
        nation.setNationTime(payResult.getCreate_time());
        nation.setNationId(payResult.getId());
        nation.setEventType(payResult.getEvent_type());
        try {
            switch (payResult.getEvent_type()) {
                case "TRANSACTION.SUCCESS": // 支付通知
                    // 验签并解密报文
                    Transaction decryptObject = parser.parse(requestParam, Transaction.class);
                    nation.setDecodeData(JSON.toJSONString(decryptObject));
                    // 调用接口处理支付结果
                    payService.paySuccess(decryptObject);
                    // 通知业务服务
                    MinAppHolderReader.app().paySuccess(decryptObject);
                    break;
                case "REFUND.SUCCESS": // 退款成功通知
                case "REFUND.ABNORMAL": // 退款异常通知
                case "REFUND.CLOSED": // 退款关闭通知
                    RefundNotification refundNotification = parser.parse(requestParam, RefundNotification.class);
                    nation.setDecodeData(JSON.toJSONString(refundNotification));
                    switch (payResult.getEvent_type()) {
                        case "REFUND.SUCCESS": // 退款成功通知
                            MinAppHolderReader.app().refundSuccess(refundNotification);
                            payService.refundSuccess(refundNotification, 8, "退款成功");
                            break;
                        case "REFUND.ABNORMAL": // 退款异常通知
                            MinAppHolderReader.app().refundError(refundNotification);
                            payService.refundSuccess(refundNotification, 9, "退款异常");
                            break;
                        case "REFUND.CLOSED": // 退款关闭通知
                            MinAppHolderReader.app().refundClose(refundNotification);
                            payService.refundSuccess(refundNotification, 10, "退款关闭");
                            break;
                    }
                    break;
            }
        } catch (Exception e) {
            e.printStackTrace();
            loggerApi.error("微信通知接收解密处理时发生异常", e);
            Map<String, String> res = new HashMap<>();
            res.put("code", "FAIL");
            res.put("message", e.getMessage());
            return res;
        } finally {
            nation.setSystemCreateUser("WX");
            payNationMapper.insert(nation);
        }
        Map<String, String> res = new HashMap<>();
        res.put("code", "SUCCESS");
        res.put("message", "成功");
        return res;
    }

我我系统内部因为有重构 httpServletRequest 的方法直接复用了,也可以使用其他方式获取 POST 请求体

若使用自定义方法读取 post 请求体,就不能再使用 @RquestBody 解析参数了,因为 HttpServletRequest 请求体只允许被读取一次!!


public class VerdureRequestWrapper extends HttpServletRequestWrapper {
        HttpServletRequest orgRequest = null;
        private byte[] bytes;
        private WrappedServletInputStream  wrappedServletInputStream;
        public VerdureRequestWrapper(HttpServletRequest request) throws IOException {
            super(request);
            this.orgRequest = request;
            //读取输入流的请求参数,保存到bytes中
            bytes = IOUtils.toByteArray(request.getInputStream());
            ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
            this.wrappedServletInputStream = new WrappedServletInputStream(byteArrayInputStream);

            //把post参数重新写入请求流
            reWriteInputStream();
        }
        public void setRequestParams(String json) {
            wrappedServletInputStream.setStream(new ByteArrayInputStream(json.getBytes()));
        }
        /**
         * 把参数重新写进请求里
         */
        public void reWriteInputStream() {
            wrappedServletInputStream.setStream(new ByteArrayInputStream(bytes != null ? bytes : new byte[0]));
        }
        @Override
        public ServletInputStream getInputStream() throws IOException {
            return wrappedServletInputStream;
        }
        @Override
        public BufferedReader getReader() throws IOException {
            return new BufferedReader(new InputStreamReader(wrappedServletInputStream));
        }
        /**
         * 获取post参数
         */
        public String getRequestParams() throws IOException {
            return new String(bytes, this.getCharacterEncoding());
        }
        //清洗参数,防止xss注入
        public String[] getParameterValues(String parameter) {
            String[] values = super.getParameterValues(parameter);
            if (values == null) {
                return null;
            }
            int count = values.length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = xssEncode(values[i]);
            }
            return encodedValues;
        }
        public String getParameter(String name){
            String value = super.getParameter(xssEncode(name));
            if (value != null) {
                value = xssEncode(value);
            }
            return value;
        }
        public String getHeader(String name) {
            String value = super.getHeader(xssEncode(name));
            if (value != null) {
                value = xssEncode(value);
            }
            return value;
        }
        private static String xssEncode(String s){
            return s;
        }
        public HttpServletRequest getOrgRequest(){
            return this.orgRequest;
        }
        private class WrappedServletInputStream extends ServletInputStream {
            public void setStream(InputStream stream) {
                this.stream = stream;
            }
            private InputStream stream;
            public WrappedServletInputStream(InputStream stream) {
                this.stream = stream;
            }
            public int read() throws IOException {
                return stream.read();
            }
            public boolean isFinished() {
                return true;
            }
            public boolean isReady() {
                return true;
            }
            public void setReadListener(ReadListener readListener) {
            }
        }
    }
Java微信支付-支付成功异步回调
LittleSheep肖恩
10-12 3889
接上一篇Java微信支付-统一下单API,本篇在上篇文章的基础上讲述统一下单支付成功之后微信异步回调通知 在调用微信支付-统一下单API时,会传递notify_url这个参数给微信,这个参数是用户成功支付之后微信端会向此地址进行通知,我们应该在接受到微信发来的通知时进行确保安全性。 注意:notify_url必须为外网可访问的url,能携带参数。测试时可以使用内网穿透进行测试,这个东西...
微信支付名失败与回调无响应的坑
学而时习之
03-13 3985
一、按微信官方的c#部分demo的代码,付款或退款时名失败,总结了一下,大致以下几种可能。 1.参数没有按官方的接口传输。 2.参数正常,但转换成xml传输时,字符串放到CDATA内,没有放到XML节点中,实际上字符串放到CDATA和XML节点中都是可行的。官方的demo是放到CDATA中,而官方文档是放到XML节点中。所以严格来说,这个算是坑。 3.按官方demo的代码,在生成名时m...
微信支付成功后,异步通知 NotificationParser.parse 解密数据异常
宋发元
12-16 1505
微信支付成功,异步通知解密数据异常java:JDK8 依赖微信sdk:wechatpay-java;0.2.15版本 解决方案 body要使用原始的报文,而是 toJSONString() 的字符串。经过序列化和反序列化之后,跟原文一致。要用@RequestBody去接受参数,要从request中解析出原始报文。亲测完整教程:微信支付|SpringBoot集成微信小程序创建订单&支付&退款(apiV3+SDK保姆级教程) https://blog.youkuaiyun.com/u011019141/article
【新版】微信支付V3-商家打款(java版本)
最新发布
dori_ya的博客
03-15 595
(1)该代码仅支持2025.1.15后创建的商户号。(2)微信商户平台必须开通【商家打款】功能。(3)只支持商户公钥模式。
微信支付,支付名校失败
qq_39516382的博客
12-24 4932
微信支付,支付名校失败 支付名校失败 首先一定要检查前端的.wx.requestPayment的格式是否正确,特别是SignType字段,一定要跟后台对得上。 我的问题就是出现在这个地方,使用微信官方提供的SDK里其加密方式是采用‘’HMAC-SHA256’的,但微信在官方文档中提供的微信支付接口默认是MD5的,所以没注意的同学就忽略了这一步了。 附上服务器端的加密方式:Wxpay.Con...
微信支付失败提示名错误,请检查后重试
叶落无痕的博客
09-26 3633
③ 发起授权申请后,再次登录微信小程序后台进入【微信支付-商户号管理】找到待关联商户号,点击确认申请绑定的商户号(如有多个商户号,确认前注意核对要绑定的商户号)① 需登录微信商户平台进入【产品中心-AppID账号管理-我关联的AppID账号】点击“关联APPID”输入小程序APPID进行授权绑定即可。① 登录微信商户平台,进入【产品中心-开发配置】,即可查看到对应的商户号。出现该提示的原因是:商户号、商户API密钥填错、或者小程序未关联商户号。② 将10位数的商户号填写到项目中的Mchid中。
微信小程序支付回调解析名异常
m0_61584203的博客
02-19 1790
微信支付回调解析名异常 om.wechat.pay.java.core.exception.ValidationException: Processing WechatPay notification,signature verification failed,signType[WECHATPAY2-SHA256-RSA2048] serial[556CCF0B47804BDD0A5E1CC12FEE1A70A95D588A]
微信V3支付名容易出现,应答的微信支付证失败
zhouzhou377的博客
09-02 3537
记录一下解决BUG的流程总结
nodejs实现微信支付成功后-异步通知
weixin_43639981的博客
11-10 1050
废话多说直接上代码: var crypto = require("crypto"); //1.response为POST请求中body的获取参数,结构为{"xml":{...}} let sign = response.xml.sign;//提前单独拿出请求参数中的名 console.log("开始微信"+sign); delete response.xml.sign;//删除json中的sign参数,生成名时用它 //2.字典排序 let keys
Java微信支付-退款成功异步回调
LittleSheep肖恩
10-14 3237
接上一篇Java微信支付-申请退款API,本篇在上篇文章的基础上讲述调用申请退款API后退款成功之后微信异步回调通知 下文中所需配置、类都在以请查看以上链接内容。 在调用微信支付-统一下单API时,会传递notify_url这个参数给微信,这个参数是用户成功支付之后微信端会向此地址进行通知,我们应该在接受到微信发来的通知时进行确保安全性。 注意:notify_url必须为外网可访问的ur...
微信支付-Java服务端代码
10-18
- **证书管理**:微信支付通常需要商户提供私钥和证书,用于名和,确保通信过程中的数据完整性。 - **幂等性设计**:对于订单支付和退款的操作,设计时要考虑幂等性,防止重复请求导致的一致性。 在提供的...
java后台微信支付工具类
05-11
Java后台微信支付工具类是开发微信App支付时可或缺的一部分,它包含了处理支付请求、响应以及与微信支付服务器交互的关键逻辑。微信支付是一个安全且广泛使用的支付方式,它允许用户通过微信应用程序进行线上交易...
微信支付——支付证失败的坑
热门推荐
qq_35641337的博客
01-11 2万+
只讲几个微信支付开发中的问题!(JAVA版的公众号支付) 第一个是获取订单数据时生成,然后通过这些数据生成预支付订单(通过 统一下单 方法取得),微信官方返回一串xml数据,告诉你是否成功。 第二个是需要把数据传给前端调起支付页面的,(此处注意看文档的字段,key值也要和他的一直,sign是取得名后再赋给map做paySign)——我是在此处犯错 以下是支付页面提示名错误的解决...
微信支付名失败
LH297的博客
11-21 491
微信支付当中遇见这个问题 结合 官方文档看看自己的大小写错误没有。找了好久还进行了测试结果微信的官方文档也给我出了一个坑。是否一致 一致的话才可调起微信支付。最后给大家看看提交成功的参数。生成名后结合后端提供的。
微信支付回调失败
迎风飞翔的专栏
10-09 1543
/ // 如果处理失败,应返回 4xx/5xx 的状态码,例如 500 INTERNAL_SERVER_ERROR。"event_type":"TRANSACTION.SUCCESS","summary":"支付成功",//证书序列号(微信平台) 的“微信支付平台证书”所对应的平台证书序列号。// 证失败,返回 401 UNAUTHORIZED 状态码。//获取请求头中的报文名信息,用于后续名。//微信传递过来的名值。//的随机字符串。
微信支付异常(“应答的微信支付证失败“)记录
拾荒者
05-10 3681
原因是: 配置错了“微信支付平台证书”; 如何解决: 1.下载微信支付平台证书下载工具(Certificate Downloader) 得到 CertificateDownloader-1.1.jar 2.执行命令 java -jar CertificateDownloader-1.1.jar -f (商户私钥文件路径/apiclient_key.pem) -k (apiv3秘钥) -m (商户号) -o ((执行后生成)微信支付平台证书保存路径) -s (商户证书...
服务端微信支付 失败
gaike810的专栏
09-29 2536
服务端微信支付 失败 当你失败,但是其他的 调整好了,但还是 失败 很有可能 是你的 ◆ key设置路径:微信商户平台(pay.weixin.qq.com)–&gt;账户设置–&gt;API安全–&gt;密钥设置 没有设置上,这个key 就是你的 AppSecret ...
微信支付报错“支付证失败”
qq_36663951的博客
08-12 6532
微信支付有几个地方需要注意的 sign 名时需要在末尾增加key参数 key 参数在商户后台进行设置 sign证wx.config 证工具 url 参数必须是当前js运行所在的url(包括参数) 如果名失败可能跟支付的授权目录有关微信创建统一订单时返回的数据格式中只有prepay_id参数有用,其他返回的参数无用wx.chooseWXpay 在调起微信支付时需要二次
微信支付 api v3 支付通知 异步 失败 PHP
weixin_42762981的博客
12-29 1000
此处我们接收参数(报文主体)一般是通过框架 自带的request接收。 例如TP6:$this->request->param(); 这里如果使用此接收方式在进行json转换会失败。 我们需要用原生的接收方式:file_get_contents(‘php://input’); 接收到之后直接拿此数据进行证。 附以下代码: public function verifySign() { $timestamp = "header头中的时间戳"; $no
PHP实现微信JS-SDK支付接口快速入门与实践
3. **安全性证**:在接收微信支付通知时,应该进行证支付通知是否由微信服务器发出,防止恶意攻击。 #### 六、调试和日志 描述中提到开发者需要花时间去对应看和log出文件来一一对比,这意味着在开发过程...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值