『壹』 java微信支付jsAPI签名报空指针null是怎么回事
你好,先按照异常信息找到是哪行抛出的异常。
能抛出空指针异常说明这一行上有对象是null但是去调用方法了。
按照这个思路检查一下吧。
如果有帮助到你,请点击采纳。
『贰』 用Java怎么实现微信支付
具体方法步骤:
一、准备阶段:已认证微信号,且通过微信支付认证,这个可以看微信文档,很详细,这里就不再重复。
二、配置授权目录,官方推荐使用https类型的url,不知道http能不能行,个人也推荐使用https的保证不会错。
配置授权域名
三、微信支付二次开发所需要的参数:
APP_ID,APP_KEY,PARTNER,PARTNER_KEY(AppSecret)
APP_ID和PARTNER_KEY(AppSecret)
PARTNER
APP_KEY(自行设置32位字符)
四、具体编程
1、通过页面跳转到确认支付页面,其中的redirect_uri必须是配置授权目录下的。
2、获取到openid,再经服务器向微信请求获取prepay_id,封装字段并进行签名后通过jsapi调起微信支付
3、测试结果
『叁』 微信支付后端篇
微信支付系列文章
微信支付-java后端实现
微信支付-vue 前端实现
java demo: 下载地址文章底部
技术栈
Spring boot
java
XML (微信在http协议中数据传输方案)
MD5 签名
微信支付术语
openid (OpenID是公众号一对一对应用户身份的标识)
app_id (公众号id,登录微信公众号–开发–基本配置中获得;)
key (收款商户后台进行配置,登录微信商户平台–账户中心–API安全-设置秘钥,设置32位key值;)
mch_id (收款商家商户号;)
certPath (API证书, 登录微信商户平台–账户中心-API安全-下载证书)
后端流程
服务端需要的核心操作, 总共分为以下几步:
统一下单
前端调起微信支付必要参数 (需加密)
订单结果主动通知 (回调接口)
查询订单结果
结束订单支付接口(关闭订单,支付订单关闭)
代码
微信总共支持多种语言的sdk, 在官网可以下载例子, java程序也可以引入微信支付的sdk包, 但是github上的sdk已经很久没有更新了, 最好的选择, 也是我的选择, 在官网上下载sdk项目, 将其中所有java类到自己的项目中.
官网sdk下载目录
链接: 商户平台首页
####根据微信sdk生成配置类 WXPayConfig
创建IWxPayConfig.class, 继承sdk WXPayConfig.class, 实现sdk中部分抽象方法, 读取本地证书, 加载到配置类中.
package core.com.chidori.wxpay;
import core.com.wxpay.IWXPayDomain;
import core.com.wxpay.WXPayConfig;
import core.com.wxpay.WXPayConstants;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Service;
import java.io.ByteArrayInputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
@Service
public class IWxPayConfig extends WXPayConfig { // 继承sdk WXPayConfig 实现sdk中部分抽象方法
private byte[] certData;
@Value("${vendor.wx.config.app_id}")
private String app_id;
@Value("${vendor.wx.pay.key}")
private String wx_pay_key;
@Value("${vendor.wx.pay.mch_id}")
private String wx_pay_mch_id;
public IWxPayConfig() throws Exception { // 构造方法读取证书, 通过getCertStream 可以使sdk获取到证书
String certPath = "/data/config/chidori/apiclient_cert.p12";
File file = new File(certPath);
InputStream certStream = new FileInputStream(file);
this.certData = new byte[(int) file.length()];
certStream.read(this.certData);
certStream.close();
}
@Override
public String getAppID() {
return app_id;
}
@Override
public String getMchID() {
return wx_pay_mch_id;
}
@Override
public String getKey() {
return wx_pay_key;
}
@Override
public InputStream getCertStream() {
return new ByteArrayInputStream(this.certData);
}
@Override
public IWXPayDomain getWXPayDomain() { // 这个方法需要这样实现, 否则无法正常初始化WXPay
IWXPayDomain iwxPayDomain = new IWXPayDomain() {
@Override
public void report(String domain, long elapsedTimeMillis, Exception ex) {
}
@Override
public DomainInfo getDomain(WXPayConfig config) {
return new IWXPayDomain.DomainInfo(WXPayConstants.DOMAIN_API, true);
}
};
return iwxPayDomain;
}
}
发起统一下单 AND 前端调起微信支付必要参数
// 发起微信支付
WXPay wxpay = null;
Map result = new HashMap>();
try {
// ******************************************
//
// 统一下单
//
// ******************************************
wxpay = new WXPay(iWxPayConfig); // *** 注入自己实现的微信配置类, 创建WXPay核心类, WXPay 包括统一下单接口
Map data = new HashMap ();
data.put("body", "订单详情");
data.put("out_trade_no", transOrder.getGlobalOrderId()); // 订单唯一编号, 不允许重复
data.put("total_fee", String.valueOf(transOrder.getOrderAmount().multiply(new BigDecimal(100)).intValue())); // 订单金额, 单位分
data.put("spbill_create_ip", "192.168.31.166"); // 下单ip
data.put("openid", openId); // 微信公众号统一标示openid
data.put("notify_url", "http://wxlj.oopmind.com/payCallback"); // 订单结果通知, 微信主动回调此接口
data.put("trade_type", "JSAPI"); // 固定填写
logger.info("发起微信支付下单接口, request={}", data);
Map response = wxpay.unifiedOrder(data); // 微信sdk集成方法, 统一下单接口unifiedOrder, 此处请求 MD5加密 加密方式
logger.info("微信支付下单成功, 返回值 response={}", response);
String returnCode = response.get("return_code");
if (!SUCCESS.equals(returnCode)) {
return null;
}
String resultCode = response.get("result_code");
if (!SUCCESS.equals(resultCode)) {
return null;
}
String prepay_id = response.get("prepay_id");
if (prepay_id == null) {
return null;
}
// ******************************************
//
// 前端调起微信支付必要参数
//
// ******************************************
String packages = "prepay_id=" + prepay_id;
Map wxPayMap = new HashMap ();
wxPayMap.put("appId", iWxPayConfig.getAppID());
wxPayMap.put("timeStamp", String.valueOf(Utility.getCurrentTimeStamp()));
wxPayMap.put("nonceStr", Utility.generateUUID());
wxPayMap.put("package", packages);
wxPayMap.put("signType", "MD5");
// 加密串中包括 appId timeStamp nonceStr package signType 5个参数, 通过sdk WXPayUtil类加密, 注意, 此处使用 MD5加密 方式
String sign = WXPayUtil.generateSignature(wxPayMap, iWxPayConfig.getKey());
// ******************************************
//
// 返回给前端调起微信支付的必要参数
//
// ******************************************
result.put("prepay_id", prepay_id);
result.put("sign", sign);
result.putAll(wxPayMap);
return result;
} catch (Exception e) {
}
回调结果处理
核心是支付订单回调时, 需校验加密签名是否匹配, 防止出现模拟成功通知
@RequestMapping(value = "/payCallback", method = RequestMethod.POST)
public String payCallback(HttpServletRequest request, HttpServletResponse response) {
logger.info("进入微信支付异步通知");
String resXml="";
try{
//
InputStream is = request.getInputStream();
//将InputStream转换成String
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
StringBuilder sb = new StringBuilder();
String line = null;
try {
while ((line = reader.readLine()) != null) {
sb.append(line + " ");
}
} catch (IOException e) {
e.printStackTrace();
} finally {
try {
is.close();
} catch (IOException e) {
e.printStackTrace();
}
}
resXml=sb.toString();
logger.info("微信支付异步通知请求包: {}", resXml);
return wxTicketService.payBack(resXml);
}catch (Exception e){
logger.error("微信支付回调通知失败",e);
String result = " ";
return result;
}
}
@Override
public String payBack(String notifyData) {
logger.info("payBack() start, notifyData={}", notifyData);
String xmlBack="";
Map notifyMap = null;
try {
WXPay wxpay = new WXPay(iWxPayConfig);
notifyMap = WXPayUtil.xmlToMap(notifyData); // 转换成map
if (wxpay.(notifyMap)) {
// 签名正确
// 进行处理。
// 注意特殊情况:订单已经退款,但收到了支付结果成功的通知,不应把商户侧订单状态从退款改成支付成功
String return_code = notifyMap.get("return_code");//状态
String out_trade_no = notifyMap.get("out_trade_no");//订单号
if (out_trade_no == null) {
logger.info("微信支付回调失败订单号: {}", notifyMap);
xmlBack = " ";
return xmlBack;
}
// 业务逻辑处理 ****************************
logger.info("微信支付回调成功订单号: {}", notifyMap);
xmlBack = " ";
return xmlBack;
} else {
logger.error("微信支付回调通知签名错误");
xmlBack = " ";
return xmlBack;
}
} catch (Exception e) {
logger.error("微信支付回调通知失败",e);
xmlBack = " ";
}
return xmlBack;
}
统一下单的签名和后续前端拉取微信支付的签名需要统一, 也就是都采用MD5加密, 如果2者不同, 会导致前端拉取微信支付fail, 这是一个巨大的坑, 因为这个原因调试了好久, 微信在文档里没有明确标出统一下单的签名校验方式 需要和前端拉取微信支付的签名校验保持一致.
微信sdk里的源码需要针对这个问题调整一下, 调整如下:
WXPay类需要修改下加密判断,在WXPay构造方法中,调整如下
public WXPay(final WXPayConfig config, final String notifyUrl, final boolean autoReport, final boolean useSandbox) throws Exception {
this.config = config;
this.notifyUrl = notifyUrl;
this.autoReport = autoReport;
this.useSandbox = useSandbox;
if (useSandbox) {
this.signType = SignType.MD5; // 沙箱环境
}
else {
this.signType = SignType.MD5;// 将这里的加密方式修改为SignType.MD5, 保持跟前端吊起微信加密方式保持一致
}
this.wxPayRequest = new WXPayRequest(config);
}
结束语
做完以后, 微信支付的后端逻辑还是很清晰的, 但是在开发过程中很煎熬, 不清楚每个专业术语在微信哪里配置, 加密方式乱的很
『肆』 如何实现java程序与微信公众平台之间实现消息推送
微信开发者 文档上有相应的API,仔细查看api文档,很简单的。
『伍』 开放平台API接口安全性设计——微信支付为例
API接口,类似 http://mypay.com/refund/order_id=123&mch_id=123 ,这个请求我以商户mch_id=123的身份给订单号为order_id=123退款,如果服务器不辩别请求发起者的身份直接做相应的操作,那是及其危险的。
一般的,在PC端,我们是通过加密的cookie来做会员的辨识和维持会话的;但是cookie是属于浏览器的本地存储功能。APP端不能用,所以我们得通过token参数来辨识会员;而这个token该如何处理呢?
延伸开来,接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用。
一般来说,在前端对数据做加密或者前面,是不现实的。前后端使用HTTP协议进行交互的时候,由于HTTP报文为明文,所以通常情况下对于比较敏感的信息可以通过在前端加密,然后在后端解密实现"混淆"的效果,避免在传输过程中敏感信息的泄露(如,密码,证件信息等)。不过前端加密只能保证传输过程中信息是‘混淆’过的,对于高手来说,打个debugger,照样可以获取到数据,并不安全,所谓的前端加密只是稍微增加了攻击者的成本,并不能保证真正的安全。即使你说在前端做了RSA公钥加密,也很有可能被高手获取到公钥,并使用该公钥加密数据后发给服务端,所以务必认为前端的数据是不可靠的,服务端要加以辩别。敏感信息建议上https。
所以一般建议上https,敏感信息md5混淆,前端不传输金额字段,而是传递商品id,后端取商品id对应的金额,将金额等参数加签名发送到支付系统。金额可以是明文的。
token授权机制 :用户使用用户名密码登录后,后台给客户端返回一个token(通常是UUID),并将Token-UserId键值对存储在redis中,以后客户端每次请求带上token,服务端获取到对应的UserId进行操作。如果Token不存在,说明请求无效。
弊端 :token可以被抓包获取,无法预防MITM中间人攻击
用户每次请求都带上当前时间的时间戳timestamp,服务器收到请求后对比时间差,超过一定时长(如5分钟),则认为请求失效。时间戳超时机制是防御DOS攻击的有效手段。
将token,timestamp等其他参数以字典序排序,再加上一个客户端私密的唯一id(这种一般做在服务端,前端无法安全保存这个id)或使用私钥签名,将前面的字符串做MD5等加密,作为sign参数传递给服务端。
地球上最重要的加密算法:非对称加密的RSA算法。公钥加密的数据,可以用私钥解密;私钥签名(加密)的数据,可以用公钥验签。
RSA原理是对极大整数做因数分解,以下摘自维基网络。
暂时比较忙没时间,将于7月29日晚更新。
来更新啦。
微信支付安全规范,可以查看官方文档 https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=4_3
第1点中,其签名算法最重要的一步,是在最后拼接了商户私密的API密钥,然后通过md5生成签名,这时即使金额是明文也是安全的,如果有人获取并修改了金额,但是签名字段他是无法伪造的,因为他无法知道商户的API密钥。当然,除了微信支付的拼接API生成签名的方法,我们也可以通过java自带的security包进行私钥签名。其中nonce随机字符串,微信支付应该做了校验,可以防止重放攻击,保证一次请求有效,如果nonce在微信支付那边已经存在,说明该请求已执行过,拒绝执行该请求。
阮一峰老师的博客-RSA算法原理: http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html
维基网络: https://zh.wikipedia.org/wiki/RSA%E5%8A%A0%E5%AF%86%E6%BC%94%E7%AE%97%E6%B3%95
『陆』 怎么用java调用微信支付接口
java调用微信支付接口方法:x0d=newRequestHandler(super.getRequest(),super.getResponse());x0dx0ax0dx0a//获取token//两小时内有效,两小时后重新获取x0dx0ax0dx0aToken=requestHandler.GetToken();x0dx0ax0dx0a//更新token到应用中x0dx0ax0dx0arequestHandler.getTokenReal();x0dx0ax0dx0aSystem.out.println("微信支付获取token=======================:"+Token);x0dx0ax0dx0ax0dx0ax0dx0a//requestHandler初始化x0dx0ax0dx0arequestHandler.init();x0dx0ax0dx0arequestHandler.init(appid,appsecret,appkey,partnerkey,key);x0dx0ax0dx0ax0dx0ax0dx0a//--------------------------------本地系统生成订单-------------------------------------x0dx0ax0dx0a//设置package订单参数x0dx0ax0dx0aSortedMap
『柒』 java实现微信支付,通过JSAPI发起支付请求
在config.jsp填 好 在ResponseHandler填下APPKEY 用wxm-pay-api-demo.html或者jsapi.jsp我测试是都可以用.试能用哪个用哪个吧专 JS已经搞好属了
ResponseHandler,ResponseHandler,payNotifyUrl.jsp都修了..