抓包微信支付接口（fd抓包改微信支付数据）

app内微信付款链接怎么抓取

打开微信，进入主界面。 点击右上方的“+”字图标。 选择收付款。点击“我要收款”。就可以了。

手机软件（英文名：Application）是指安装在智能手机上的软件，需要有相应的手机系统来运行。

开放平台API接口安全性设计——微信支付为例

API接口，类似 ;mch_id=123 ，这个请求我以商户mch_id=123的身份给订单号为order_id=123退款，如果服务器不辩别请求发起者的身份直接做相应的操作，那是及其危险的。

一般的，在PC端，我们是通过加密的cookie来做会员的辨识和维持会话的；但是cookie是属于浏览器的本地存储功能。APP端不能用，所以我们得通过token参数来辨识会员；而这个token该如何处理呢？

延伸开来，接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计，保证接口的数据不会被篡改和重复调用。

一般来说，在前端对数据做加密或者前面，是不现实的。前后端使用HTTP协议进行交互的时候，由于HTTP报文为明文，所以通常情况下对于比较敏感的信息可以通过在前端加密，然后在后端解密实现"混淆"的效果，避免在传输过程中敏感信息的泄露（如，密码，证件信息等）。不过前端加密只能保证传输过程中信息是‘混淆’过的，对于高手来说，打个debugger，照样可以获取到数据，并不安全，所谓的前端加密只是稍微增加了攻击者的成本，并不能保证真正的安全。即使你说在前端做了RSA公钥加密，也很有可能被高手获取到公钥，并使用该公钥加密数据后发给服务端，所以务必认为前端的数据是不可靠的，服务端要加以辩别。敏感信息建议上https。

所以一般建议上https，敏感信息md5混淆，前端不传输金额字段，而是传递商品id，后端取商品id对应的金额，将金额等参数加签名发送到支付系统。金额可以是明文的。

token授权机制 ：用户使用用户名密码登录后，后台给客户端返回一个token（通常是UUID），并将Token-UserId键值对存储在redis中，以后客户端每次请求带上token，服务端获取到对应的UserId进行操作。如果Token不存在，说明请求无效。

弊端 ：token可以被抓包获取，无法预防MITM中间人攻击

用户每次请求都带上当前时间的时间戳timestamp，服务器收到请求后对比时间差，超过一定时长（如5分钟），则认为请求失效。时间戳超时机制是防御DOS攻击的有效手段。

将token，timestamp等其他参数以字典序排序，再加上一个客户端私密的唯一id（这种一般做在服务端，前端无法安全保存这个id）或使用私钥签名，将前面的字符串做MD5等加密，作为sign参数传递给服务端。

地球上最重要的加密算法：非对称加密的RSA算法。公钥加密的数据，可以用私钥解密；私钥签名（加密）的数据，可以用公钥验签。

RSA原理是对极大整数做因数分解，以下摘自维基百科。

暂时比较忙没时间，将于7月29日晚更新。

来更新啦。

微信支付安全规范，可以查看官方文档

第1点中，其签名算法最重要的一步，是在最后拼接了商户私密的API密钥，然后通过md5生成签名，这时即使金额是明文也是安全的，如果有人获取并修改了金额，但是签名字段他是无法伪造的，因为他无法知道商户的API密钥。当然，除了微信支付的拼接API生成签名的方法，我们也可以通过java自带的security包进行私钥签名。其中nonce随机字符串，微信支付应该做了校验，可以防止重放攻击，保证一次请求有效，如果nonce在微信支付那边已经存在，说明该请求已执行过，拒绝执行该请求。

阮一峰老师的博客-RSA算法原理：

维基百科：

iOS13+ 通用链接（Universal Link）设置 解决APP接入微信支付和分享问题

最近项目中，微信SDK针对 iOS 13系统版本安全性，进行了对应升级，微信SDK版本为openSDK(1.8.6+)。在微信官方介绍中，1.8.6.1 版本开始支持Universal Links方式跳转，对openSDK分享进行合法性校验。

*环境

SDK版本: SDK1.8.6或以上

微信版本: 7.0.7或以上

系统版本: iOS12或以上

1）根据 苹果文档 配置你应用的Universal Links

微信对Universal Links配置要求

a）Universal Links必须支持https

b）Universal Links配置的paths不能带query参数

c）微信使用Universal Links拉起第三方App时，会在Universal Links末尾拼接路径和参数，因此App配置的paths必须加上通配符/*

1.2 确认App的Universal Links配置成功

微信使用第三方App的Universal Links唤起第三方App时，会在Universal Links末尾拼接路径和参数，因此开发者Universal Links配置必须加上通配符“*”，并测试Universal Links拼接字符串能否唤起app

例如：我微信开发平台配置Universal Links为：

appID格式为：TeamID + . + BundleID

TeamID在开发者平台找

2.1注意事项：

自己创建一个名叫 apple-app-site-association的json格式文件，注意文件命不需要添加的后缀。 apple官方参照地址

注意 用于在paths 数组中指定网站路径的字符串 区分大小写。仅将URL的路径部分用于比较。其他组件（例如查询字符串或片段标识符）将被忽略。

2.2上传apple-app-site-association到服务器(服务器需要支持https)

保存设置，然后重新生成配置文件。

·在 Xcode 中，选择你的工程设置项，选中“TARGETS”一栏，在“info”标签栏下的“URL type“添加“URL scheme”为你所注册的应用程序 id：在“LSApplicationQueriesSchemes“添加weixin 和weixinULAPI（如下图所示）

1：必须在IOS9及以上。

2：当在浏览器中点击Universal Links时，如果这个link和页面是同一个域名，则不走调起，而是当做普通链接在当前浏览器打开。

3：在测试阶段，微信分享或者支付不要打开代理抓包，这样也不走调起.—— 特别注意留心

4：成功调起app后，app的右上角的 state bar有在safari( letv.com )中打开的选项，如果你点击了它，它会跳转到safari，同时系统会认为你选择使用safari打开该域名的链接，而不调起app。以后你再点击该链接，它只会在safari里面跳转。

(1) 在safari页面中，手指往下拉动一下页面，会显示出一个“隐藏”的banner，俗称 smart banner，右侧是一个button：打开（open），点击它，就又会开启app跳转功能。

(2) 把链接粘贴到备忘录中，长按后选择 在XXAPP中打开。

调取微信支付的方法

//获取微信支付接口信息

                    http.post(`${api.api}/config`,

                    {

                        url: location.href.split("#")[0]//截取地址栏地址传到后台

                    })

                    .then((res) = {

                        //获取后台返回的参数

                        this.appId = res.data.appId

                        this.nonce = res.data.nonce

                        this.signature = res.data.signature

                        this.timestamp = res.data.timestamp

                        //调取微信官方config接口

                        wx.config({

                        debug: false, // 开启调试模式,调用的所有api的返回值会在客户端alert出来，若要查看传入的参数，可以在pc端打开，参数信息会通过log打出，仅在pc端时才会打印。

                        appId: this.appId, // 必填，公众号的唯一标识

                        timestamp: this.timestamp, // 必填，生成签名的时间戳

                        nonceStr: this.nonce, // 必填，生成签名的随机串

                        signature: this.signature,// 必填，签名

                        jsApiList: ['chooseWXPay'] // 必填，需要使用的JS接口列表

                    });

                    })

                    .catch((error) = {

                        console.log(error);

                    });

                    //调取后台接口，获取下单信息，并用wx.ready调取微信支付方法

                    var id = JSON.parse(localStorage.getItem('token')).id

                    http.get(`${api.api}/orders?id=${id}money=${this.total*100}type=${0}count=${this.date}acount=${this.count}`)

                    .then((res) = {

                        console.log(res)

                        wx.ready(()={

                            wx.chooseWXPay({

                                timestamp: res.data.timeStamp, // 支付签名时间戳，注意微信jssdk中的所有使用timestamp字段均为小写。但最新版的支付后台生成签名使用的timeStamp字段名需大写其中的S字符

                                nonceStr: res.data.nonceStr, // 支付签名随机串，不长于 32 位

                                package: res.data.package, // 统一支付接口返回的prepay_id参数值，提交格式如：prepay_id=\*\*\*）

                                signType: 'MD5', // 签名方式，默认为'SHA1'，使用新版支付需传入'MD5'

                                paySign: res.data.paySign, // 支付签名

                                success:  (res) = {

                                // 支付成功后的回调函数

                                this.$router.push({path:'/creditcard'})

                                }

                            });

                        })

                    })

                    .catch((error) = {

                        console.log(error);

                    });

微信H5支付流程

1、用户在商户侧完成下单，使用微信支付进行支付

2、由商户后台向微信支付发起下单请求（ 调用统一下单接口 ）注：交易类型trade_type=MWEB

3、统一下单接口返回支付相关参数给商户后台，如支付跳转url（参数名“mweb_url”），商户通过mweb_url调起微信支付中间页

4、中间页进行H5权限的校验，安全性检查（此处常见错误请见下文）

5、如支付成功，商户后台会接收到微信侧的异步通知

6、用户在微信支付收银台完成支付或取消支付,返回商户页面（默认为返回支付发起页面）

7、商户在展示页面，引导用户主动发起支付结果的查询

8,9、商户后台判断是否接收到微信侧的支付结果通知，如没有，后台调用我们的 订单查询接口 确认订单状态（查单实现可参考： 支付回调和查单实现指引 ）

10、展示最终的订单支付结果给用户

常见问题

一、回调页面

正常流程用户支付完成后会返回至发起支付的页面，如需返回至指定页面，则可以在MWEB_URL后拼接上redirect_url参数，来指定回调页面。

如，您希望用户支付完成后跳转至 ，则可以做如下处理：

假设您通过统一下单接口获到的MWEB_URL= ;package=1037687096

则拼接后的地址为MWEB_URL= ;package=1037687096redirect_url=https%3A%2F%2F

注意：

1.需对redirect_url进行urlencode处理

2.由于设置redirect_url后,回跳指定页面的操作可能发生在：

a、微信支付中间页调起微信收银台后超过5秒

b、用户点击“取消支付”或支付完成后点击“完成”按钮。因此无法保证页面回跳时，支付流程已结束，所以商户设置的redirect_url地址不能自动执行查单操作，应让用户去点击按钮触发查单操作。回跳页面展示效果可参考下图

二、其它常见错误

| 网络环境未能通过安全验证，请稍后再试 | 1. 商户侧统一下单传的终端IP(spbill_create_ip)与用户实际调起支付时微信侧检测到的终端IP不一致导致的，这个问题一般是商户在统一下单时没有传递正确的终端IP到spbill_create_ip导致，详细可参见 客户端ip获取指引

2. 统一下单与调起支付时的网络有变动，如统一下单时是WIFI网络，下单成功后切换成4G网络再调起支付，这样可能会引发我们的正常拦截，请保持网络环境一致的情况下重新发起支付流程

|

| 2 |

| 商家参数格式有误，请联系商家解决 |

1. 当前调起H5支付的referer为空导致，一般是因为直接访问页面调起H5支付，请按正常流程进行页面跳转后发起支付，或自行抓包确认referer值是否为空

2. 如果是APP里调起H5支付，需要在webview中手动设置referer，如(

Mapstring extraHeaders = new HashMapstring();

extraHeaders.put("Referer", "商户申请H5时提交的授权域名");//例如 )/string/string

|

| 3 |

| 商家存在未配置的参数，请联系商家解决 | 1，当前调起H5支付的域名（微信侧从referer中获取）与申请H5支付时提交的授权域名不一致，如需添加或修改授权域名，请登录商户号对应的【商户平台-产品中心-开发配置】自行配置

2，如果设置了回跳地址redirect_url，请确认设置的回跳地址的域名与申请H5支付时提交的授权域名是否一致 |

| 4 |

| 支付请求已失效，请重新发起支付 | 统一下单返回的MWEB_URL生成后，有效期为5分钟，如超时请重新生成MWEB_URL后再发起支付 |

| 5 |

| 请在微信外打开订单，进行支付 | H5支付不能直接在微信客户端内调起，请在外部浏览器调起 |

| 6 |

| IOS：签名验证失败

安卓：系统繁忙，请稍后再试 | 1，请确认同一个MWEB_URL只被一个微信号调起，如果不同微信号调起请重新下单生成新的MWEB_URL

2，如MWEB_URL有添加redirect_url，请确认参数拼接格式是否有误，是否有对redirect_url的值做urlencode,可对比以下例子格式：

;package=1037687096redirect_url=https%3A%2F%2F |

|

|

| 7 |

| 由于商家传入的H5交易参数有误，该笔交易暂时无法完成,请联系商家解决 | 统一下单中 spbill_create_ip 字段必须为客户端IP地址 |

三、QA

Q1：

1、传递redirect_url safari浏览器时支付完成后会新开一个页面；

2、还有就是有些ios手机使用其他浏览器支付完成后默认会回到safari浏览器。

A1：

1、目前逻辑就是这样设计的，防止商户无限循环调用微信客户端

2、对的，返回需要浏览器的schema信息，部分浏览器隐藏了这个信息，在无法拿到schema信息的情况下，就会回到safari浏览器