支付寶app支付的流程如下（圖片來自支付寶開放平臺）

本文重點討論支付寶的簽名驗證機制，即圖中的第二步。

支付寶簽名采用RSA算法。RSA是一種用非對稱加密算法。只有短的RSA鑰匙才可能被強力方式解破。到2008年為止，世界上還沒有任何可靠的攻擊RSA算法的方式。只要其鑰匙的長度足夠長，用RSA加密的信息實際上是不能被解破的。目前被破解的最長RSA密鑰是768個二進制位。也就是說，長度超過768位的密鑰，還無法破解（至少沒人公開宣布）。因此可以認為，1024位的RSA密鑰基本安全，2048位的密鑰極其安全。支付寶建議采用2048位秘鑰。

簡單來說，簽名主要包含兩個過程：摘要和非對稱加密，首先對需要簽名的數據做摘要（類似于常見的MD5）后得到摘要結果，然后通過簽名者的私鑰對摘要結果進行非對稱加密即可得到簽名結果。

支付寶開放平臺目前支持兩種簽名算法

開放平臺簽名算法名稱 標準簽名算法名稱 備注

RSA2	SHA256WithRSA	（強烈推薦使用），強制要求RSA密鑰的長度至少為2048，
RSA	SHA1WithRSA	對RSA密鑰的長度不限制，推薦使用2048位以上

螞蟻金服官方的說法是RSA2的安全性要強于RSA，所以建議采用RSA2進行簽名。

使用支付寶簽名首先要通過簽名生成工具生成應用公鑰和私鑰，將公鑰上傳至支付寶開放平臺，同時平臺會生成支付寶公鑰，支付寶會在接口返回信息時使用SHA1withRsa進行加密，這個公鑰客戶端不會用到。

客戶端的簽名流程如下：

1) 組裝待簽名字符串? 2) 調用簽名函數 a. "使用各自語言對應的SHA1WithRSA簽名函數利用商戶私鑰對待簽名字段進行簽名，并進行Base64編碼。" --from aliDoc (?r:網關為mapi，商戶即合作伙伴，利用合作伙伴密鑰和partner_id 進行簽名) 3) 使用簽名 "得到的簽名結果也是一個字符串，這個字符串就是sign參數的值，將這個字符串賦值給sign參數并發起請求。"--from aliDoc

驗簽流程： 1) 組裝待驗簽字符串 2) 調用簽名驗簽函數 “RSA：使用各自語言對應的SHA1WithRSA簽名驗證函數，傳入待驗簽字段、支付寶公鑰、參數sign對應的值（該參數為支付寶返回）進行驗簽，根據返回結果判定是否驗簽通過。

參考：https://doc.open.alipay.com/doc2/detail?treeId=58&articleId=103596&docType=1

PS：支付寶目前同時支持舊版和新版兩種接口，兩種接口分別使用獨立的api和公私鑰簽名，不能混用，舊版的公私鑰不能用于新版api，同樣，新版的公私鑰也不能用于舊版的api。

總結

以上是生活随笔為你收集整理的支付宝签名验证机制的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。