关于通知接口的坑
3.37里并没有告诉 用那些参数进行验证sign 鹅厂的文档向来写的不好
npm上的一些包也没有验证 这个会存在安全隐患 我自己写了个方法 仅供大家吐槽
var md5 = require('MD5');
function notify_url(body) {
if (body.xml) {
var sign = body.xml.sign[0];
var sign1=body.xml;
delete sign1.sign;
var url= _toQueryString(sign1)+"&key="+config.wxpayconfig.partnerKey// 微信支付秘钥 ;
var ret =md5(url).toUpperCase();//tool.getMd5(url).toUpperCase();
if (ret == sign) {
return true;
}
else {
return false;
}
}
else {
return false;
}
}
function _toQueryString(object) {
return Object.keys(object).filter(function (key) {
return object[key] !== undefined && object[key] !== '';
}).sort().map(function (key) {
return key + "=" + object[key];
}).join("&");
}其中body 是post 过来的xml文件 以上便是验证方法
下面我说说处理逻辑
function weixinindex(req, res) {
//
var body = req.body;
if(body.xml.return_code=="SUCCESS") {
var total_fee = body.xml.total_fee[0];
var transaction_id = body.xml.transaction_id[0];
var ret =wxbank.notify_url(body);
var out_trade_no =body.xml.out_trade_no[0];
console.log(out_trade_no,out_trade_no.split('_')[0]);
var openid = body.xml.openid[0];
if (ret == true) //验证通过 操作数据库
{
//处理自己的逻辑
if(支付成功)
{
//支付成功
res.send('success');
}
else{
//失败
res.send('fail');
}
}
}
} 至此 可以正常的适用了 也排除了安全隐患