微信支付

1、微信支付产品介绍 ​

1.1、付款码支付

用户展示微信钱包内的“付款码”给商家，商家扫描后直接完成支付，适用于线下面对面收银的场景。

1.2、JSAPI支付

线下场所：商户展示一个支付二维码，用户使用微信扫描二维码后，输入需要支付的金额，完成支付。

公众号场景：用户在微信内进入商家公众号，打开某个页面，选择某个产品，完成支付。

PC网站场景：在网站中展示二维码，用户使用微信扫描二维码，输入需要支付的金额，完成支付。

特点：用户在客户端输入支付金额

1.3、小程序支付

在微信小程序平台内实现支付的功能。

1.4、Native支付

Native支付是指商户展示支付二维码，用户再用微信“扫一扫”完成支付的模式。这种方式适用于PC网 站。 特点：商家预先指定支付金额

1.5、APP支付

商户通过在移动端独立的APP应用程序中集成微信支付模块，完成支付。

1.6、刷脸支付

用户在刷脸设备前通过摄像头刷脸、识别身份后进行的一种支付方式。

2、接入指引 ​

2.1、获取商户号

微信商户平台：https://pay.weixin.qq.com/

场景：Native支付

步骤：提交资料 => 签署协议 => 获取商户号

2.2、获取APPID

微信公众平台：https://mp.weixin.qq.com/

步骤：注册服务号 => 服务号认证 => 获取APPID => 绑定商户号

2.3、获取API秘钥

APIv2版本的接口需要此秘钥

步骤：登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 设置API密钥

2.4、获取APIv3秘钥

APIv3版本的接口需要此秘钥

步骤：登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 设置APIv3密钥

随机密码生成工具：https://suijimimashengcheng.bmcx.com/

2.5、申请商户API证书

APIv3版本的所有接口都需要；

APIv2版本的高级接口需要（如：退款、企业红包、企业付款等）

步骤：登录商户平台 => 选择 账户中心 => 安全中心 => API安全 => 申请API证书

2.6、获取微信平台证书

可以预先下载，也可以通过编程的方式获取。

==注意：以上所有API秘钥和证书需妥善保管防止泄露==

3、支付安全（证书/秘钥/签名） ​

3.1、信息安全的基础 - 机密性

明文：加密前的消息叫“明文”（plain text）

密文：加密后的文本叫“密文”（cipher text）

密钥：只有掌握特殊“钥匙”的人，才能对加密的文本进行解密，这里的“钥匙”就叫做“密钥”（key）“密钥”就是一个字符串，度量单位是“位”（bit），比如，密钥长度是 128，就是 16 字节的二 进制串 加密：实现机密性最常用的手段是“加密”（encrypt） 按照密钥的使用方式，加密可以分为两大类：对称加密和非对称加密。

解密：使用密钥还原明文的过程叫“解密”（decrypt）

加密算法：加密解密的操作过程就是“加密算法” 所有的加密算法都是公开的，而算法使用的“密钥”则必须保密

3.2、对称加密和非对称加密

对称加密

特点：只使用一个密钥，密钥必须保密，常用的有 AES算法 优点：运算速度快 缺点：秘钥需要信息交换的双方共享，一旦被窃取，消息会被破解，无法做到安全的密钥交换

非对称加密

特点：使用两个密钥：公钥和私钥，公钥可以任意分发而私钥保密，常用的有 RSA 优点：黑客获取公钥无法破解密文，解决了密钥交换的问题 缺点：运算速度非常慢 混合加密 实际场景中把对称加密和非对称加密结合起来使用。

3.3、身份认证

公钥加密，私钥解密的作用是加密信息

私钥加密，公钥解密的作用是身份认证

3.4、摘要算法（Digest Algorithm）

摘要算法就是我们常说的散列函数、哈希函数（Hash Function），它能够把任意长度的数据“压缩”成 固定长度、而且独一无二的“摘要”字符串，就好像是给这段数据生成了一个数字“指纹”。

作用： 保证信息的完整性

特性：

==不可逆==：只有算法，没有秘钥，只能加密，不能解密

==难题友好性==：想要破解，只能暴力枚举

==发散性==：只要对原文进行一点点改动，摘要就会发生剧烈变化

==抗碰撞性==：原文不同，计算后的摘要也要不同

常见摘要算法： MD5、SHA1、SHA2（SHA224、SHA256、SHA384）

3.5、数字签名

数字签名是使用私钥对摘要加密生成签名，需要由公钥将签名解密后进行验证，实现身份认证和不可否 认 签名和验证签名的流程：

3.6、数字证书 数字证书解决“公钥的信任”问题，可以防止黑客伪造公钥。 不能直接分发公钥，公钥的分发必须使用数字证书，数字证书由CA颁发 https协议中的数字证书

3.7、微信APIv3证书

商户证书： 商户API证书是指由商户申请的，包含商户的商户号、公司名称、公钥信息的证书。

商户证书在商户后台申请：https://pay.weixin.qq.com/index.php/core/cert/api_cert#/

平台证书（微信支付平台）： 微信支付平台证书是指由微信支付 负责申请的，包含微信支付平台标识、公钥信息的证书。

商户可以使 用平台证书中的公钥进行验签。 平台证书的获取：https://pay.weixin.qq.com/wiki/doc/apiv3/wechatpay/wechatpay3_0.shtml

3.8、API密钥和APIv3密钥 都是对称加密需要使用的加密和解密密钥，一定要保管好，不能泄露。 API密钥对应V2版本的API APIv3密钥对应V3版本的API