摘要：錢(qián)可以存儲(chǔ)在自己的余額中，這就相當(dāng)于微信錢(qián)包，余額可以提現(xiàn)到銀行卡的中。我們的第三方支付平臺(tái)是連連支付，杭州的一家公司。私鑰怎么加簽每個(gè)公司的加簽方式是不一樣的，支付寶有支付寶的加簽方式，微信有微信的加簽方式。

筆者在校期間，通過(guò)自學(xué)java。學(xué)校里也開(kāi)過(guò)這門(mén)課，但是，講的都是一些基礎(chǔ)，比如java的表達(dá)式、基本類(lèi)型、自定義類(lèi)型等等。也都是很基礎(chǔ)的東西，就連lambda表達(dá)式都沒(méi)有。然而，讓我們交的作業(yè)，是用java-web開(kāi)發(fā)出的網(wǎng)站。我當(dāng)時(shí)做的是與圖書(shū)共享相關(guān)的網(wǎng)站。當(dāng)時(shí)滿腔熱血地想著去創(chuàng)業(yè)，但是，因?yàn)樽陨磉€沒(méi)離開(kāi)學(xué)校，社會(huì)經(jīng)驗(yàn)不是特別足，于是，這件事就擱淺了。

去年六月份畢業(yè)，參加了班級(jí)的散伙飯后，大家也都各奔東西。但大部分從事軟件開(kāi)發(fā)的行業(yè)，有些人進(jìn)入外包公司，有些人進(jìn)入了游戲公司。不管進(jìn)入到什么行業(yè)，在最初的一段時(shí)間中，遇到一個(gè)教你的人很重要。這樣，你可以學(xué)校到很多東西。當(dāng)然，你自己也得努力學(xué)習(xí)。

我依稀記得第一次做項(xiàng)目，那個(gè)項(xiàng)目做得真是一塌糊涂，權(quán)當(dāng)我個(gè)人練手用了。對(duì)于個(gè)人來(lái)說(shuō)，成長(zhǎng)是非常快的，但是，對(duì)于企業(yè)來(lái)說(shuō)，這是一種損失。真的是損失。因?yàn)椋髽I(yè)讓你來(lái)做事，不是讓你來(lái)試驗(yàn)的。自從第一個(gè)項(xiàng)目失敗后，也不能說(shuō)失敗吧，至少做得不夠完美。項(xiàng)目沒(méi)有達(dá)到松散耦合的程度。我在開(kāi)發(fā)的過(guò)程中，遇到了各種各樣的問(wèn)題，在他人的幫助下，慢慢地適應(yīng)了開(kāi)發(fā)強(qiáng)度。

當(dāng)時(shí)，我給自己定義的是java后端開(kāi)發(fā)工程師，因而，接口都是通過(guò)postman來(lái)測(cè)試。我們的持久層使用的hibernate框架，于是，仿照hibernate寫(xiě)個(gè)框架，參考我的博客：模仿hibernate框架，詳解hibernate部分方法設(shè)計(jì)；同時(shí)使用spring容器集合該框架，于是，仿照了spring寫(xiě)個(gè)框架，可以參考我的博客：模擬spring框架，深入講解spring的對(duì)象的創(chuàng)建；數(shù)據(jù)過(guò)濾的框架是Apache下的beanutils框架，于是，模擬beanutils寫(xiě)個(gè)框架，參看我的博客：只因數(shù)據(jù)過(guò)濾，方可模擬beanutils框架

框架能寫(xiě)的出來(lái)，而這只是java端的，我并不知道前端的一些情況，比如前端和后端是如何進(jìn)行數(shù)據(jù)交互的，前端如何在頁(yè)面展示數(shù)據(jù)等等。于是，下載了前端的頁(yè)面。我們前端的頁(yè)面放置在SVN上，后端代碼放置在git上。自己慢慢地根據(jù)前端頁(yè)面去摸索，神奇地是能夠展示出數(shù)據(jù)。帶我的人看我做的還不錯(cuò)，于是，教我前后端一起開(kāi)發(fā)。

我們這個(gè)是前后端分離的，前端調(diào)用后端的接口。在學(xué)校里面也學(xué)過(guò)前端的一些知識(shí)，比如CSS3、HTML5，jQuery，JavaScript等等，那時(shí)并不是項(xiàng)目開(kāi)發(fā)，有些東西只是自己弄著玩的。但公司項(xiàng)目的開(kāi)發(fā)和自己開(kāi)發(fā)完全不是一回事，需要掌握很多的前端知識(shí)。

不久，做了個(gè)完整的前端項(xiàng)目，因?yàn)橛袑W(xué)校的經(jīng)驗(yàn)，有些東西很快就掌握了，但是，其他很多東西還不怎么會(huì)，真的很腦大。但隨著項(xiàng)目的深入，才發(fā)現(xiàn)自己在學(xué)校學(xué)的知識(shí)，還是遠(yuǎn)遠(yuǎn)地不夠項(xiàng)目開(kāi)發(fā)所用的。于是，不斷地充電，不斷地向前輩的學(xué)習(xí)，現(xiàn)在，前端的很多東西也知道了。

現(xiàn)在，回過(guò)頭看我寫(xiě)的前端代碼，再看前輩給我寫(xiě)的前端代碼，我發(fā)現(xiàn)我那時(shí)寫(xiě)的真的垃圾，可以用不堪入目這個(gè)詞來(lái)形容。但是，當(dāng)時(shí)設(shè)計(jì)的頁(yè)面還是蠻酷的，也得到了老板的認(rèn)可。這是我值得驕傲的事。

我不斷地嘗試前后端的開(kāi)發(fā)，也從中知道了vue.js，bootstrap，jQuery、echart等前端框架。也知道了本地ip和局域網(wǎng)ip的區(qū)別，以及如何用小米球做本地調(diào)試。從而更知道了，如何實(shí)現(xiàn)前后端分離。我越來(lái)越相信這句話，只要你努力，就會(huì)有人幫助你。

隨著時(shí)間地推進(jìn)，老板接了一個(gè)項(xiàng)目，就是圖書(shū)共享的項(xiàng)目。我當(dāng)時(shí)聽(tīng)到這個(gè)項(xiàng)目后，我就感覺(jué)到有點(diǎn)難過(guò)。這和我畢設(shè)所做的項(xiàng)目思想是一致的，如果，我當(dāng)時(shí)能夠勇敢一點(diǎn)，也許，我就推廣我的這個(gè)項(xiàng)目了。但是，我沒(méi)有。

世界就是這么殘酷，不允許你有絲毫地猶豫。于是，老板再接下一個(gè)項(xiàng)目后，項(xiàng)目名為云碼兌換平臺(tái)。用戶(hù)收到某家公司給的代幣（福利），拿到代幣到這個(gè)平臺(tái)上兌換成錢(qián)。錢(qián)可以存儲(chǔ)在自己的余額中，這就相當(dāng)于微信錢(qián)包，余額可以提現(xiàn)到銀行卡的中。也可以使用余額來(lái)購(gòu)買(mǎi)商品。這分為企業(yè)錢(qián)包和個(gè)人錢(qián)包，企業(yè)錢(qián)包和個(gè)人錢(qián)包是不一樣的。

我沒(méi)做個(gè)類(lèi)似項(xiàng)目，于是，就接過(guò)來(lái)做了。老板說(shuō)這個(gè)項(xiàng)目對(duì)我來(lái)說(shuō)，難度系數(shù)還是比較大的。我就下定決心把這個(gè)項(xiàng)目給做好，因?yàn)槲抑揽梢詮倪@個(gè)項(xiàng)目學(xué)到很多東西。我們的第三方支付平臺(tái)是連連支付，杭州的一家公司。

這個(gè)項(xiàng)目可以說(shuō)沒(méi)有任何人帶我，完全由我自己參考連連給的文檔，邊學(xué)習(xí)邊嘗試著去開(kāi)發(fā)。這樣，也培養(yǎng)了我調(diào)用第三方接口，參讀他們文檔的能力。可以說(shuō)，未嘗不是一種收獲呢？

我們老總說(shuō)過(guò)年前夕，只做支付相關(guān)的業(yè)務(wù)，也就是，用戶(hù)提交代幣兌換金額的申請(qǐng)，后臺(tái)管理員接收到這個(gè)申請(qǐng)后，從后臺(tái)給用戶(hù)打款。如圖所示：

后臺(tái)管理員點(diǎn)擊批量打款時(shí)，服務(wù)端會(huì)做數(shù)據(jù)的篩選，曬選出狀態(tài)為待轉(zhuǎn)讓的客戶(hù)打款，其他情況下一律不打款。就這么一個(gè)小小的支付按鈕，其內(nèi)部涉及太多的知識(shí)點(diǎn)。

我之所以害怕，是因?yàn)閷?duì)未知的恐懼。一開(kāi)始做支付非常難，其實(shí)，做完之后，也沒(méi)有我想像的那么難。但是，我還是需要做一些準(zhǔn)備工作。比如，下載連連支付的SDK。但要考慮到SDK是什么SDK？SDK分為兩種，一種是應(yīng)用到j(luò)ava開(kāi)發(fā)中，一種是應(yīng)用到Android或iOS開(kāi)發(fā)中。因?yàn)椋B連那邊沒(méi)有將其區(qū)分開(kāi)來(lái)，從而造成錢(qián)包項(xiàng)目的延誤。這個(gè)會(huì)在下文提到。

下載好連連支付的SDK后，我們通過(guò)maven創(chuàng)建項(xiàng)目，使用的是阿里云的中央倉(cāng)庫(kù)，其并不存在連連SDK。因而，我們需要配置本地的Maven庫(kù)。這個(gè)網(wǎng)上都有教程的，我在這里就不細(xì)說(shuō)了。

配置好了SDK后，我們需要了解簽名機(jī)制，連連使用的RSA簽名機(jī)制，如圖所示：

至于連連為什么使用RSA簽名，可以參考我的這篇博客：支付與簽名原串的那些事，但選擇排序生成簽名原串。

我們將生成的pkcs8格式的公鑰上傳到連連商戶(hù)站，再?gòu)倪B連的商戶(hù)站下載其連連公鑰。私鑰用以加簽，公鑰用以驗(yàn)簽，這用以提高數(shù)據(jù)的安全性。

私鑰怎么加簽？每個(gè)公司的加簽方式是不一樣的，支付寶有支付寶的加簽方式，微信有微信的加簽方式。這里，我就說(shuō)說(shuō)連連支付的加簽方式。我們?cè)谙蜻B連發(fā)送支付請(qǐng)求前，需要封裝我們的請(qǐng)求參數(shù)，將請(qǐng)求參數(shù)以一定格式的方式存儲(chǔ)，這就是簽名原串，如圖所示：

將簽名原串和我們的pkcs8格式的私鑰共同加密，這就調(diào)用到j(luò)dk數(shù)字簽名的這幾個(gè)包：

import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Signature;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;

但是，加密時(shí)可能會(huì)報(bào)出Illegal Key Size的錯(cuò)誤。當(dāng)您使用Java版本為6， 7或8時(shí)， 由于連連提供的公鑰超出了加密過(guò)程中使用到的AES加密方法的默認(rèn)密鑰長(zhǎng)度限制， 需要替換您的開(kāi)發(fā)環(huán)境中的local_policy.jar和US_export_policy.jar這兩個(gè)jar包以去除密鑰長(zhǎng)度限制，即${java_home}/jre/lib/security/ 否則會(huì)在加密時(shí)拋出異常 Illegal Key Size。

Jar包替換地址為:

http://www.oracle.com/technet...

http://www.oracle.com/technet...

http://www.oracle.com/technet...

得到加簽后的簽名字符串，再調(diào)用連連支付的LianLianPaySecurity.encrypt(JSON.toJSONString(preq), PaymentConstant.LIAN_PUBLIC_RSA_KEY);加密算法，該算法有兩個(gè)參數(shù)，一個(gè)是包括簽名的請(qǐng)求參數(shù)，一個(gè)是下載下來(lái)的連連公鑰。

如果請(qǐng)求連連支付成功的話，其會(huì)返回一段字符串，該字符串包含連連的簽名原串、私鑰簽名串等其他信息。連連那邊的簽名串的加簽方式，和我們這邊的是一樣的。我們從連連下載下來(lái)的連連公鑰，其公鑰也是其由私鑰生成而來(lái)。其將請(qǐng)求參數(shù)封裝成簽名原串，將私鑰和簽名原串共同加簽成簽名串。

因而，我們這邊拿到了連連的簽名原串和簽名串之后，就要進(jìn)行驗(yàn)簽了。怎么驗(yàn)簽?zāi)兀课覀冞@個(gè)時(shí)候，就用到了從連連的商戶(hù)站下載的連連公鑰了，如代碼所示：

 /**
 * Created By zby on 17:28 2018/12/18
 * RSA簽名驗(yàn)證
 * 

 * * @param reqObj: The obtained asynchronous notification body
 * * @param rsa_public: The public key provided by LianLian
 */
public static boolean checkSignRSA(String response) {
    logger.info("【響應(yīng)參數(shù)】申請(qǐng)付款的響應(yīng)參數(shù)為：" + response);
    if (StringUtils.isBlank(response)) {
        return false;
    }
    JSONObject reqObj = JSONObject.parseObject(response);
    String lianPubkey = PaymentConstant.LIAN_PUBLIC_RSA_KEY;
    String lianSigned = reqObj.getString("sign");
    String lianSignSrc = genSignData(reqObj);
    ifNullThrow(lianPubkey, ResultCodeEnum.NOT_CONFIG_LIAN_PUBLIC_KEY_VALUE);
    try {
        if (TraderRSAUtil.checksign(lianPubkey, lianSigned, lianSignSrc)) {
            return true;
        } else {
            return false;
        }
    } catch (Exception e) {
        return false;
    }
}

底部調(diào)用的是TraderRSAUtil.checksign這個(gè)方法，其內(nèi)部如代碼所示：

  /**
 * 簽名驗(yàn)證
 *
 * @param lianPubkey  下載好的連連公鑰
 * @param lianSignSrc 連連的簽名原串，也就是將返回串封裝成jsonObject
 * @param lianSigned  連連加密簽名簽名，包括簽名原串+私鑰
 * @return
 */
public static boolean checksign(String lianPubkey, String lianSigned,
                                String lianSignSrc) {
    try {
        //【1】獲取公鑰
        //獲取KeyFactory，指定RSA算法
        KeyFactory keyFactory = KeyFactory.getInstance(PaymentConstant.SIGN_TYPE);
        //將BASE64編碼的公鑰字符串進(jìn)行解碼
        BASE64Decoder decoder = new BASE64Decoder();
        //將BASE64解碼后的字節(jié)數(shù)組，構(gòu)造成X509EncodedKeySpec對(duì)象，生成公鑰對(duì)象
        PublicKey publicKey = keyFactory.generatePublic(new X509EncodedKeySpec(decoder.decodeBuffer(lianPubkey)));
        byte[] signed = decoder.decodeBuffer(lianSigned);
        //【2】使用公鑰，進(jìn)行驗(yàn)簽
        //獲取Signature實(shí)例，指定簽名算法(與之前一致)
        Signature signature = Signature.getInstance(PaymentConstant.MD5_WITH_RSA);
        //加載公鑰
        signature.initVerify(publicKey);
        //更新原數(shù)據(jù)
        signature.update(lianSignSrc.getBytes(BaseConstant.CHARSET));
        //公鑰驗(yàn)簽（true-驗(yàn)簽通過(guò)；false-驗(yàn)簽失敗）
        return signature.verify(signed);
    } catch (Exception e) {
        e.printStackTrace();
    }
    return false;
}

這就是一個(gè)支付的流程，不論是任何第三方支付，其都要有加簽和驗(yàn)簽，因?yàn)椋@是最基本的安全機(jī)制。只不過(guò)，各個(gè)公司的加簽和驗(yàn)簽方式有所不同而已。

當(dāng)然，有些東西就沒(méi)必要使用RSA加簽和驗(yàn)簽了，比如連連那邊的綁定銀行卡的業(yè)務(wù)，其加簽方式就是用MD5加簽的。但是，支付涉及到了金額，這個(gè)，只要與錢(qián)相關(guān)的業(yè)務(wù)。都需要謹(jǐn)慎處理，也許，RSA不是最好的加密方式，但就目前而言，其還是比較安全的。

為什么要做錢(qián)包呢？做任何事都要有其目的。

我們做的是福利平臺(tái)。屆時(shí)，許多商戶(hù)會(huì)入駐該平臺(tái)，給其用戶(hù)提供不同的優(yōu)惠卡或者錢(qián)，比如流量充值卡、話費(fèi)充值卡，中石油的加油卡等。不同商戶(hù)提供不同的（虛擬）商品，不同的商品對(duì)應(yīng)多少錢(qián)，比如話費(fèi)卡30元，流量卡30元等。商戶(hù)需要在錢(qián)包中充錢(qián)（充值），便于用戶(hù)兌換。

用戶(hù)拿到這些卡消費(fèi)時(shí)，商戶(hù)的錢(qián)包里的錢(qián)會(huì)減少。用戶(hù)可以通過(guò)代幣兌換這些充值卡，也可以通過(guò)代幣兌換錢(qián)，商戶(hù)的錢(qián)就會(huì)變少，而用戶(hù)的錢(qián)包的錢(qián)增加，其可以提現(xiàn)到銀行卡（提現(xiàn)），也可以購(gòu)買(mǎi)其他產(chǎn)品（支付）；在購(gòu)買(mǎi)時(shí)，錢(qián)包余額不夠，可以充值到連連錢(qián)包（充值）。如果已經(jīng)購(gòu)買(mǎi)了，也可以，申請(qǐng)退款（退款）。 同時(shí)，也可以查看提現(xiàn)記錄（提現(xiàn)查詢(xún)），支付記錄（支付查詢(xún)）；

總的來(lái)說(shuō)，電子錢(qián)包可以存儲(chǔ)用戶(hù)的金額，相當(dāng)于微信支付中的余額，也相當(dāng)于我們現(xiàn)實(shí)中的錢(qián)包。用戶(hù)可以支配錢(qián)包金額（余額），但并非任意支配。因?yàn)橛脩?hù)支配的額度不能超過(guò)錢(qián)包的額度。

今年都到了三月二十四號(hào)了，我們的錢(qián)包已經(jīng)做一個(gè)月了。但是，我們這邊的產(chǎn)品經(jīng)理可能和連連那邊的業(yè)務(wù)沒(méi)有溝通好，其所提供給我們的web組件全部是走他們的頁(yè)面。我當(dāng)時(shí)問(wèn)他們的頁(yè)面支不支持響應(yīng)式布局，他們堅(jiān)決地回答說(shuō)不支持。如圖所示：

這在PC端的瀏覽器中看，界面還是可以的，但是，如果用手機(jī)端看的話，其會(huì)非常的別扭，如圖所示：

你會(huì)發(fā)現(xiàn)，這簡(jiǎn)直不能使用。我當(dāng)時(shí)和對(duì)方說(shuō)，這種效果的用戶(hù)體驗(yàn)不好。他們說(shuō)我們這邊提供的了手機(jī)端的SDK組件，我看了他們給的SDK組件，其完全是Android開(kāi)發(fā)和iOS開(kāi)發(fā)的SDK組件。他們以為我們是Android開(kāi)發(fā)，而我們這是微信公眾號(hào)，是嵌入在微信中的h5頁(yè)面，自然是不能使用的。

這就是產(chǎn)品經(jīng)理和業(yè)務(wù)沒(méi)有溝通好帶來(lái)的誤會(huì)，產(chǎn)品經(jīng)理說(shuō)他們那邊的業(yè)務(wù)不懂技術(shù)。他們那邊的業(yè)務(wù)以為SDK就是SDK，不區(qū)分是不是Android和iOS，還是服務(wù)端java的SDK。業(yè)務(wù)可能也沒(méi)問(wèn)他那邊的技術(shù)。因而，浪費(fèi)了這一個(gè)月的時(shí)間。我們這是從開(kāi)年就開(kāi)始做錢(qián)包了，做到現(xiàn)在就遇到了這個(gè)問(wèn)題。所以，很多東西都要重新做。

對(duì)于企業(yè)來(lái)說(shuō)，這是一個(gè)損失。但對(duì)于我個(gè)人來(lái)說(shuō)，這是一種成長(zhǎng)。不論是技術(shù)方面，還是與人溝通方面，都是一種成長(zhǎng)。

我們后來(lái)和他們說(shuō)，web組件走不通了，能不能通過(guò)API的方式自定義界面，他們說(shuō)他們這邊也是提供的，不過(guò)，是最近剛開(kāi)放的API的接口。我們這邊的產(chǎn)品經(jīng)理非常生氣，說(shuō)你們那邊沒(méi)有的話，就早點(diǎn)和我們說(shuō)嗎，免得浪費(fèi)我們的時(shí)間。

我在開(kāi)發(fā)的起始階段，看了他們的SDK，也有和對(duì)方溝通。我說(shuō)我們這是公眾號(hào)開(kāi)發(fā)，你們這個(gè)SDK好像有問(wèn)題，他們那邊說(shuō)你可以使用web組件，當(dāng)時(shí)，也沒(méi)有說(shuō)到這個(gè)API的接口。

出現(xiàn)上述的問(wèn)題，也不能說(shuō)是誰(shuí)的錯(cuò)。其實(shí)，誰(shuí)都沒(méi)有錯(cuò)，然而，誰(shuí)貌似都有錯(cuò)。因?yàn)闇贤ǖ牟患皶r(shí)，導(dǎo)致了上面的問(wèn)題。

事情已經(jīng)出了，生氣也沒(méi)用。因而，我就從這件事中吸取教訓(xùn)。凡是，都要先溝通好，比如，就這個(gè)SDK的問(wèn)題。是什么樣的SDK？嵌入在java中的SDK，還是純安卓的SDK。這個(gè)，就需要考慮清楚。溝通是非常重要，如果溝通的不及時(shí)，既浪費(fèi)了人力和物力，也讓雙方都不開(kāi)心。

因而，以后為人處事，一定要學(xué)會(huì)溝通。不過(guò)，這對(duì)于我來(lái)說(shuō)，也是一次小小的成長(zhǎng)吧。在成長(zhǎng)的過(guò)程中，就會(huì)摔跟頭的。但站起來(lái)之后，回頭看看絆倒自己的是什么？是石頭，還是香蕉皮？以后，再遇到這樣的事情，能不能及時(shí)的溝通。

祝自己在成長(zhǎng)的過(guò)程，愈挫愈勇吧。