在使用python接入支付宝现金红包时,遇到了很多坑。不同于Java、php等语言,支付宝未提供python现金红包相关SDK,所以要自行实现签名。





首先,要设置应用接口加签方式为公钥证书模式。 参照文档:https://docs.open.alipay.com/291/105971

然后就是自行验签的难点了,下面是支付宝给的文档: https://docs.open.alipay.com/291/106118



image.png

关键在于获取app_cert_sn和alipay_root_cert_sn的值,其它值根据实际调用的接口传就行了。



image.png

由文档可以知道,app_cert_sn和alipay_root_cert_sn的值是固定的,所以这里有一个简单的获取方法: 因为Java提供了获取这两个参数的SDK,所以我们可以通过java去解析出来这两个值,拿过来用就行。

那么,为什么用python提取就麻烦了呢?文档不是写的很清楚吗? 从文档表面看我们只需解析出机构名name和序列号serialNumber,所有问题就迎刃而解了。事实也是这样。 但是问题在于这两个参数多数人会解析错误。这就是用python自行验签最大的坑。 网上可以搜索到X.509证书解析方法: 参考:

import OpenSSLcert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, open("test.cer").read())certIssue = cert.get_issuer()print ("证书序列号:", str(cert.get_serial_number()))print ("颁发者:", certIssue.commonName)print("主体信息:")print("CN : 通用名称  OU : 机构单元名称")print("O  : 机构名    L  : 地理位置")print("S  : 州/省名   C  : 国名")for item in certIssue.get_components():    print(item[0].decode("utf-8"), "  ——  ",item[1].decode("utf-8"))print(cert.get_extension_count())

解析出来心花怒放,心想机构名不就是这个O表示的值吗,序列号为cert.get_serial_number()。尝试以后并不对,然后拿颁发者certIssue.commonName的值去试。还是不对。(序列号的获取没有问题)

原来:机构名称是主体信息的集合!

了解后知道,name是主体信息按一定的格式拼接的: CN=CN值,OU=OU值,O=O值

organization_name = ','.join([i[0].decode('utf-8') + '=' + i[1].decode('utf-8')                                   for i in cert_issue.get_components()])

结果为: C=CN,O=Ant Financial,OU=Certification Authority,CN=Ant Financial 看似没问题了,但是仍然不行。原来:组织名是有顺序的,调整为: CN=Ant Financial,OU=Certification Authority,O=Ant Financial,C=CN 然后再MD5加密:

sn_string = 'CN=' + certIssue.CN + ',' + 'O=' + certIssue.O + ',' + 'C=' + certIssue.C + str(root_cert.get_serial_number())alipay_root_cert_sn = hashlib.md5(sn_string.encode('utf-8')).hexdigest()

这样总该没问题了吧?

然而,了解后知道,支付宝根证书里有多套证书,要解析出来拼接成下面的形式:

alipay_root_cert_sn  = alipay_root_cert_sn1 + '_' + alipay_root_cert_sn2

这样一个完整的python自签名就完成了,支付,现金红包都可以使用了。