常见充值方式介绍及对比
1:银联充值
1:环境部署
安装NetPay4NTSetup.exe,将MerPrk.key和PgPubk.key两个文件放到C:\WINDOWS目录下,环境部署完成了。
2:程序中要注意的问题
最容易导致问题的就是生成加密串,这个加密功能是由银联提共的,调用Interop.CHINAPAYLib.dll中类CHINAPAYLib.NetPayClientClass的sign方法,由于这是对字符串进行加密,不同的字符串加密后的串是不一样的,所以要注意被加密字符前后是否有多余的空格,支付金额的位数,如果加密串生成有误,到银联那边肯定报参数有误的。充值成功后就是回调解密,解密调用的是CHINAPAYLib.NetPayClientClass的check方法,返回“0”表示成功,其他值表示失败。充值成功才能进行转点和发奖。
3:还要注意的一个问题是充值金额
充值金额是一个12位的字符串,以分作为单位,如000000001000表示10元,不能提交0元的订单。
4:银联订单的大致流程:用户提交一个订单,将部分参数的值加在一起,按照一定的方式加密,将结果和其他参数POST到银联的指定地址,银联会对参数进行验证,如果验证通过则认为是合法的订单,用户可以开始支付,支付成功之后,银联会对两个地址发送请求,一个地址是前台显示页面(告诉用户支付成功),另一个页面则是逻辑功能页面,把用户买的东西给他,先还是验证订单是否合法,进一步确认用户是否已经支付,支付成功后就把东西给用户。并告诉银联已经把东西给用户了,如果出现问题,银联会隔一段时间再次发送请求,时间间隔会越来越大,一定时间过来不再发送请求,有时候银联那边也会出现问题,用户的钱扣了,但是没有向我们指定的页面发送请求,就只能联系银联让他们退钱,所有的支付流程大致都是这样的,只是不同的支付方式验证不一样。
验证无非3种:
1:参数验证,参数的格式验证,加密串是否匹配
2:IP验证,只有双方约定的IP才能访问
3:订单的验证,验证订单是否支付
1是必验证的,2||3=true就可,就怕为false,那样真的很不安全
2:快钱充值
1:环境部署
环境就是为了解决加密解密问题。登录公司在快钱的账号,按照相关提示可以生成一个加密问题和一个解密问题,解密文件要上传到快钱上,因为我们加密后传过去的字符串他们要解密验证。我们的程序只用调用这个两个文件,生成订单的时候要调用加密文件,回调的时候要调用解密文件,这两个文件建议放在C盘的一个目录中,把他们的路径配在配置文件中共程序调用。IP验证是必须的,只能让指定的IP访问就安全多了,如果哪个牛人能突破IP的限制,或者构造虚假的IP,那就真的可以横冲直撞了。
2:生成加密串注意的问题
所有的参数都是先放到Dictionary中的,然后生成一个字符串,参数加入dictionary中的顺序千万不能改,改了就是不同的字符串了,加密后的字符串当然是不一样的。总之要确保加密和解密的参数的顺序是一样的。
3:还要注意的一个问题是充值金额
充值金额没有位数的限制,以分为单位,如1000表示10元,左边不能补0
3:支付宝
支付宝不需要环境的支持。参数用MD5加密,为了确保安全,在回调页还要向支付宝发送一个请求,验证订单是否支付,参数的顺序是按照参数的名字排序的,所以用的是SortedDictionary集合。
注意:所有的参数都要放到集合当中,哪怕是提交按钮,所以提交按钮最好不要设置name属性。这一点也是支付宝最坑爹的,我猜它是将所有参数按照参数名称排序并串联,然后加密的,你的POST参数多了或者少了参数,哪怕是无关没用的参数都会导致加密串验证失败。当然这样做也好处,不用管参数的串联顺序,不像其他的充值方式,非要A参数必须在B参数的前面。
支付宝支付能确保支付的安全性主要是在回调页面还要去支付宝验证订单是否支付,当然还会验证订单的关联是否正确,不然还是有漏洞。
4:神州行和联通卡
没有任何特殊,所以注意的地方比较少,确保被加密的参数顺序不变,即参数的顺序是定的,不能改变。参数MD5加密。解密也是最简单的,加密的时候MD5一次,解密的时候在把参数MD5一下,两次MD5结果一样表示已经支付,相比上面几种支付方式,它是最不安全的。虽然回调页面有一个IP限制。 要是没有这个限制那真的是彻底将接口暴露了,只要会点程序的人,都能很容易写一个东西去攻击了,不用付钱就能得到你想要的东西。
5:V币支付
V币支付同样没有任何特殊的地方,MD5验证,跟神州行和联通卡类似。
6:骏卡支付
骏卡支付跟其他支付方式不一样的地方时我们提供接口,供骏卡那边调用,由于这个接口是公开的,所以做了IP限制,只有骏卡那边提供的IP才能访问这个接口。验证也是MD5加密验证。
流程:用户在骏卡的网站上提交一个订单,然后骏卡会向我们的接口发送一个请求,我们就给用户转一定的点数,然后输出结果。然后骏卡那边会扣用户的骏点。
网络支付最常用的支付方式一般是:银联支付、块钱支付、支付宝。当然还有其他的支付方式。我觉得这三种支付方式是相对比较安全的。银联和块钱都有自己的加密解密方式,而且用户也不知道哪些参数是加密串的一部分,参数的顺序也是未知的;支付宝虽然是MD5加密,但会在回调页面验证订单是否支付,保证了安全性。
写着写着发现还是很能存在漏洞,不敢多说了。真要把网站写得很安全真不是简单的事情,要考虑的方面还真的比较多,特别是涉及到支付、提交数据的地方。比如A页面向B页面发送一个请求,B页面向数据库中插入数据,如果没有在B页面中做有效验证,任何程序员就可以花不到半个小时的时间写一个小东西,向B页面不断的提交数据,很容易就把数据库给弄爆了。所以最好别得罪程序员,特别是牛B的程序员。
作者:陈太汉
博客:http://www.cnblogs.com/hlxs/
常见充值方式介绍及对比相关推荐
- 常见充值方式介绍及对比 (转)
常见充值方式介绍及对比 1:银联充值 1:环境部署 安装NetPay4NTSetup.exe,将MerPrk.key和PgPubk.key两个文件放到C:\WINDOWS目录下,环境部署完成了. 2: ...
- 常见日志框架介绍和对比(log4j,logback,log4j2)
文章目录 1. 什么是slf4j? 2. log4j简介和配置 2.1 log4j介绍 2.2 log4j三大组件 2.3 log4j pom依赖引入 2.4 配置log4j 3. logback简介 ...
- 常见网络攻击方式介绍及短信防攻击策略的后端实现
大家好,今天给大家分享一下:几种常见的网络攻击方式的介绍以及短信防攻击策略的后端实现. 一.背景介绍 有人的地方就有江湖,有数据交互的地方,就存在入侵风险. 只有知己知彼,才能百战不殆.我们学习相关知 ...
- 内外网数据安全摆渡的5种方式介绍及对比
很多企业,尤其是科技研发型企业,都会通过各种方式实施网络隔离,比如互联网与内网隔离,生产网与办公网隔离,办公网与研发网隔离,等等,通过这种方式,以确保企业内部信息安全. 但是,安全性提升了,却给数据交 ...
- 三类常见上网方式介绍
常见的上网方式有:PPPoE.静态IP.动态IP地址三种.本文给予简单的介绍: 1.PPPoE PPPoE也叫宽带拨号上网,拨号宽带接入是当前最广泛的宽带接入方式,运营商分配宽带用户名和密码,通过用户 ...
- 常见中文编码方式介绍
常见的中文编码方式有:GB2312 GBK GB18030 UTF-8 GB2312:最基本的,每个汉字占两个字节,解析简单,仅能编码中文字符. GBK:比GB2312能编码更多的中文字符 ...
- 无线网络(WLAN)常见加密方式介绍
在使用无线路由器配置wifi安全设定的时候经常会遇到各种加密方式,即不懂意思也不知道如何选择.本文将对此做一个简单的介绍. 1.WEP 有线等效协议(Wired Equivalent Privacy, ...
- 几种常见网络抓包方式介绍
几种常见网络抓包方式介绍 一.网络分流器(TAP) 二.有网管功能的小交换机 三.用两块网卡的Linux方案 四.总结 无论作为网络运维人员,还是安全渗透工程师,在工作中都会无可避免地碰到网络抓包的需 ...
- MD5、AES、Jasypt加密方式的简要介绍与对比
MD5.AES.Jasypt加密方式的简要介绍与对比 1 前言 目前做的项目中用的加密工具有:MD5.AES加密工具(旧的)及Jasypt加密工具(新增),对这三种加密工具的简要原理和应用做了整理.内 ...
最新文章
- iOS的KVO实现剖析
- 招聘 | ​浙江农林大学孙学鹏团队招聘事业编制科研人员
- APUE 配置(Fedora)
- windows7、windows 2008和windows 2008 R2 的系统封装介绍
- php radio样式美化,微信小程序修改radio组件默认样式
- WCF技术剖析之六:为什么在基于ASP.NET应用寄宿(Hosting)下配置的BaseAddress无效...
- java 面向对象基础
- Weblogic Domain Template Creation Script
- TheadLocal的用法
- python怎么学比较有技巧_Python爬虫应该怎么学?程序猿花了一周整理的学习技巧,请收下...
- 阶段1 语言基础+高级_1-3-Java语言高级_07-网络编程_第1节 网络通信概述_3_网络通信协议分类...
- 抓包工具 Fiddler 使用介绍
- Spring-Boot开发者工具:自动重启、LiveReload、远程开发
- 《大般涅槃经》略释 净慧法师
- oracle同义词ddl,同义词 oracle,oracle里synonym的作用是什么?
- 36种漂亮的CSS3网页按钮Button样式 - 改进版
- 《银河英雄传说》杨威利经典语录2
- 话费充值api接口 手机话费充值功能接入
- 小案例:基于python的动态时钟,带十二时辰和经络养身
- ipad显示连接不到商店服务器,iPad无法连接App Store 打不开怎么办