PHP RSA签名验证问题
由于之前RSA接触的不多,再加上官方至今还未有PHP的SDK可供参考,没搞太明白。
虽然支付宝官方还未提供相关SDK,PHP确实可以实现RSA方式的签名,这点其实很重要,由于不熟悉,在遇到困难时,经常会不由自主地想到是否PHP不支持RSA签名,干脆用MD5得了,这样就没有了前进的动力。其实说穿了MD5和RSA签名,不同的只是签名方式的区别,其他的都一样。
如何用RSA进行签名和验签?
准备以下东西:
php的openssl扩展里已经封装好了验签的方法openssl_verify。
如果在Windows下的php.ini需要开启Openssl模块: extension=php_openssl.dll
商户私钥:
即RSA私钥,按照手册,按以下方式生成:
商户公钥:
即RSA私钥,按照手册,按以下方式生成:
生成之后,按照手册的说明,需要在签约平台上传公钥,需要注意的是,上传的时候需要把所有的注释和换行都去掉。
另外手册中还有如下命令:
该命令将RSA私钥转换成PKCS8格式,对于PHP来说,不需要。
支付宝公钥:
根据手册,在签约平台获得。
如果你直接复制下来的话,会得到一个字符串,需要进行下面的转换;
1)把空格变成换行
2)添加注释
比如复制下来的公钥是:
把公钥保存在文件里。
注意,这个是2048位的公钥应该是9行或者10行,不能为1行,不然PHP的openssl_pkey_get_public无法读取,pub_key_id的结果为false,如果没有-----BEGIN PUBLIC KEY----- 和 -----END PUBLIC KEY----- 可以自己加上,最后保存到一个rsa_public_key.pem文件中。
签名函数:
<?php
/**
* 签名字符串
* @param $prestr 需要签名的字符串
* return 签名结果
*/
function rsaSign($prestr) {
$public_key= file_get_contents('rsa_private_key.pem');
$pkeyid = openssl_get_privatekey($public_key);
openssl_sign($prestr, $sign, $pkeyid);
openssl_free_key($pkeyid);
$sign = base64_encode($sign);
return $sign;
}
?>
注意点:
1,$prestr的内容和MD5一样(参见手册,但不包含最后的MD5密码)
2,签名用商户私钥
3,最后的签名,需要用base64编码
4,这个函数返回的值,就是这次请求的RSA签名。
验签函数:
<?php
/**
* 验证签名
* @param $prestr 需要签名的字符串
* @param $sign 签名结果
* return 签名结果
*/
function rsaVerify($prestr, $sign) {
$sign = base64_decode($sign);
$public_key= file_get_contents('rsa_public_key.pem');
$pkeyid = openssl_get_publickey($public_key);
if ($pkeyid) {
$verify = openssl_verify($prestr, $sign, $pkeyid);
openssl_free_key($pkeyid);
}
if($verify == 1){
return true;
}else{
return false;
}
}
?>
注意点:
1,$prestr的内容和MD5一样(参见手册)
2,$sign是支付宝接口返回的sign参数用base64_decode解码之后的二进制
3,验签用支付宝公钥
4,这个函数返回一个布尔值,直接告诉你,验签是否通过
支付宝官方提供的PHP版SDK demo中只对MD5加密方式进行了处理,但android 端和ios端 请求支付宝加密方式只能用RSA加密算法,这时服务端PHP就无法验证签名了,所以需要对demo进行一些修改。
1、修改alipay_notify.class.php文件
2、新建一个alipay_rsa.function.php文件
<?php
/* *
* RSA
* 详细:RSA加密
* 版本:3.3
* 日期:2014-02-20
* 说明:
* 以下代码只是为了方便商户测试而提供的样例代码,商户可以根据自己网站的需要,按照技术文档编写,并非一定要使用该代码。
* 该代码仅供学习和研究支付宝接口使用,只是提供一个参考。
*/
/**
* 签名字符串
* @param $prestr 需要签名的字符串
* return 签名结果
*/
function rsaSign($prestr) {
$public_key= file_get_contents('rsa_private_key.pem');
$pkeyid = openssl_get_privatekey($public_key);
openssl_sign($prestr, $sign, $pkeyid);
openssl_free_key($pkeyid);
$sign = base64_encode($sign);
return $sign;
}
/**
* 验证签名
* @param $prestr 需要签名的字符串
* @param $sign 签名结果
* return 签名结果
*/
function rsaVerify($prestr, $sign) {
$sign = base64_decode($sign);
$public_key= file_get_contents('rsa_public_key.pem');
$pkeyid = openssl_get_publickey($public_key);
if ($pkeyid) {
$verify = openssl_verify($prestr, $sign, $pkeyid);
openssl_free_key($pkeyid);
}
if($verify == 1){
return true;
}else{
return false;
}
}
?>
官方提供的手册上说的基本上都是正确的,只是有些地方没有说的很详细,开发时一定要多参考。