OkHttp3使用证书发起请求
最近在对接微信支付功能,微信所有接口都采用okHttp3请求,但是申请退款接口需要证书才能调用,那如何使用证书发起请求以及证书如何获取,先看一下微信开发文档
- 在微信支付接口中,涉及资金回滚的接口会使用到API证书,包括退款、撤销接口。商家在申请微信支付成功后,收到的相应邮件后,可以按照指引下载API证书,也可以按照以下路径下载:微信商户平台(pay.weixin.qq.com)-->账户中心-->账户设置-->API安全 。证书文件说明如下:
| 证书附件 | 描述 | 使用场景 | 备注 |
|---|---|---|---|
| pkcs12格式(apiclient_cert.p12、 | 包含了私钥信息的证书文件,为p12(pfx)格式,由微信支付签发给您用来标识和界定您的身份 | 撤销、退款申请API中调用 | windows上可以直接双击导入系统,导入过程中会提示输入证书密码,证书密码默认为您的商户ID(如:10010000) |
- 以下两个证书在PHP环境中使用:
| 证书附件 | 描述 | 使用场景 | 备注 |
|---|---|---|---|
| 证书pem格式(apiclient_cert.pem) | 从apiclient_cert.p12中导出证书部分的文件,为pem格式,请妥善保管不要泄漏和被他人复制 | PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供 | 您也可以使用openssl命令来自己导出:openssl pkcs12 -clcerts -nokeys -in apiclient_cert.p12 -out apiclient_cert.pem) |
| 证书密钥pem格式(apiclient_key.pem) | 从apiclient_key.pem中导出密钥部分的文件,为pem格式,请妥善保管不要泄漏和被他人复制 | PHP等不能直接使用p12文件,而需要使用pem,为了方便您使用,已为您直接提供 | 您也可以使用openssl命令来自己导出:openssl pkcs12 -nocerts -in apiclient_cert.p12 -out apiclient_key.pem |
-
使用API证书
- apiclient_cert.p12是商户证书文件,除PHP外的开发均使用此证书文件。
- 商户如果使用.NET环境开发,请确认Framework版本大于2.0,必须在操作系统上双击安装证书apiclient_cert.p12后才能被正常调用。
- API证书调用或安装需要使用到密码,该密码的值为微信商户号(mch_id)
-
API证书安全
- 证书文件不能放在web服务器虚拟目录,应放在有访问权限控制的目录中,防止被他人下载;
- 建议将证书文件名改为复杂且不容易猜测的文件名;
- 商户服务器要做好病毒和木马防护工作,不被非法侵入者窃取证书文件。
-
商户回调API安全
- 在普通的网络环境下,HTTP请求存在DNS劫持、运营商插入广告、数据被窃取,正常数据被修改等安全风险。商户回调接口使用HTTPS协议可以保证数据传输的安全性。所以微信支付建议商户提供给微信支付的各种回调采用HTTPS协议。
以上就是微信对于API证书的说明,从微信商户平台上可以下载对应的证书,每个商户id都会对应一个证书,发起请求的时候需要使用对应的证书才可以
- 我们把证书文件 ***.p12文件发在 resource/assets 目录下,创建带证书的OkHttpClient方法如下:
SSLContext sslContext = getSSLContextByAppKey(appKey);
if (sslContext == null) {
restLogger.info("获取证书失败");
return null;
}
OkHttpClient client = new OkHttpClient().newBuilder().sslSocketFactory(sslContext.getSocketFactory()).build();
- 获取SSLContext的方法如下:
private SSLContext getSSLContextByAppKey(String mchId) {
// 设置证书路径
String certPath = String.format("assets/%s.p12", mchId);
// 设置证书密码
String certPass = mchId;
// 获取证书
return getSSLContext(certPath, certPass);
}
private SSLContext getSSLContext(String certPath, String certPass) {
try {
KeyStore clientStore = KeyStore.getInstance("PKCS12");
// 读取resource下的文件 支持jar方式启动
Resource resource = new ClassPathResource(certPath);
InputStream inputStream = resource.getInputStream();
char[] passArray = certPass.toCharArray();
clientStore.load(inputStream, passArray);
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(clientStore, passArray);
KeyManager[] kms = kmf.getKeyManagers();
SSLContext sslContext = SSLContext.getInstance("TLSv1");
sslContext.init(kms, null, new SecureRandom());
return sslContext;
} catch (Exception e) {
restLogger.info("设置证书出错");
}
return null;
}
- 按上述方式获取到的OkHttpClient就就能带着证书发起https请求了
