开发文档

安全规范

1. 签名算法

签名生成的通用步骤如下:

第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。 

特别注意以下重要规则: 

◆ 参数名ASCII码从小到大排序(字典序); 

◆ 如果参数的值为空不参与签名; 

◆ 参数名区分大小写; 

◆ 验证调用返回或QQ钱包主动通知签名时,传送的sign参数不参与签名,将生成的签名与该sign值作校验。 

QQ钱包接口可能增加字段,验证签名时必须支持增加的扩展字段 

第二步,在stringA最后拼接上key得到stringSignTemp字符串,并对stringSignTemp进行MD5运算,再将得到的字符串所有字符转换为大写,得到signsignValue

key设置路径:QQ钱包商户平台(https://qpay.qq.com/)-->账户管理-->API安全

举例: 

假设传送的参数如下: 

appid: d930ea5d5a258f4f 

mch_id: 10000100 

device_info: 1000 

body: test 

nonce_str: ibuaiVcKdpRxkhJA 

第一步:对参数按照key=value的格式,并按照参数名ASCII字典序排序如下: 

stringA="appid=d930ea5d5a258f4f&body=test&device_info=1000&mch_id=10000100&nonce_str=ibuaiVcKdpRxkhJA"; 

第二步:拼接API密钥: 

stringSignTemp=stringA+"&key=192006250b4c09247ec02edce69f6a2d" 

stringSignTemp="appid=d930ea5d5a258f4f&body=test&device_info=1000&mch_id=10000100&nonce_str=ibuaiVcKdpRxkhJA&key=192006250b4c09247ec02edce69f6a2d"

sign=MD5(stringSignTemp).toUpperCase()="C16640534B737634F08566717AD030EB" 

最终得到最终发送的数据: 

<xml> 

<appid>d930ea5d5a258f4f</appid> 

<mch_id>10000100</mch_id> 

<device_info>1000<device_info> 

<body>test</body> 

<nonce_str>ibuaiVcKdpRxkhJA</nonce_str>

<sign>C16640534B737634F08566717AD030EB</sign> 

</xml>

2. 获取随机数

QQ支付接口协议中包含字段nonce_str,主要保证签名不可预测。我们推荐生成随机数算法如下:调用随机数函数生成,将得到的值转换为字符串。 

3. 商户证书

1)获取商户证书

QQ钱包接口中,涉及资金回滚的接口会使用到商户证书,包括退款、撤销接口。商家在申请QQ钱包支付成功后,收到的相应邮件后,可以按照指引下载API证书,也可以按照以下路径下载:QQ钱包商户平台(https://qpay.qq.com/)-->账户管理-->API安全 。证书文件有四个(证书pkcs12格式、证书pem格式、证书密钥pem格式、CA证书),分别说明如下:

4.2:证书文件说明 

证书附件

描述

使用场景

备注

证书pkcs12格式
(apiclient_cert.p12)
包含了私钥信息的证书文件,为p12(pfx)格式,由QQ钱包签发给您用来标识和界定您的身份
部分安全性要求较高的API需要使用该证书来确认您的调用身份
windows上可以直接双击导入系统,导入过程中会提示输入证书密码,证书密码默认为您的商户号(如:1000010000

证书pem格式

(apiclient_cert.pem)

apiclient_cert.p12中导出证书部分的文件,为pem格式,请妥善保管不要泄漏和被他人复制

PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供

您也可以使用openssl命令来自己导出:openssl pkcs12 -clcerts -nokeys -in apiclient_cert.p12 -out apiclient_cert.pem

证书密钥pem格式

(apiclient_key.pem)

apiclient_key.pem中导出密钥部分的文件,为pem格式

PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供

您也可以使用openssl命令来自己导出:openssl pkcs12 -nocerts -in apiclient_cert.p12 -out apiclient_key.pem

CA证书

(rootca.pem)

QQ钱包支付api服务器上也部署了证明QQ钱包支付身份的服务器证书,您在使用api进行调用时也需要验证所调用服务器及域名的真实性

该文件为签署QQ钱包支付证书的权威机构的根证书,可以用来验证QQ钱包支付服务器证书的真实性

部分工具已经内置了若干权威机构的根证书,无需引用该证书也可以正常进行验证,这里提供给您在未内置所必须根证书的环境中载入使用

2)使用商户证书

◆  商户证书调用或安装都需要使用到密码,该密码的值为QQ钱包商户号(mch_id

◆  PHP开发环境请使用商户证书文件apiclient_cert.pemapiclient_key.pem ,rootca.pemCA证书。 

3)商户证书安全

证书文件不能放在web服务器虚拟目录,应放在有访问权限控制的目录中,防止被他人下载。商户服务器要做好病毒和木马防护工作,不被非法侵入者窃取证书文件。 

4. 商户回调API安全

在普通的网络环境下,HTTP请求存在DNS劫持、运营商插入广告、数据被窃取,正常数据被修改等安全风险。商户回调接口使用HTTPS协议可以保证数据传输的安全性。所以QQ钱包建议商户提供给QQ钱包的各种回调采用HTTPS协议。