关于微信支付安全的一点小思考

这是微信支付的业务流程:

在调用微信支付进行下单付款的时候,首先要调起‘统一下单接口先调用【统一下单API】生成预付单,获取到prepay_id后将参数再次签名传输给APP发起支付。

在调用统一下单API的时候需要处理大量的参数,要进行加密、拼接等操作,还涉及到iOS、安卓的统一。

因此我在想,如果只把商品的某些信息如id上传到服务器端,由后台重新从服务器调取商品信息,生成微信支付需要的相关字段并返回给手机端,在手机端进行拼接后直接调取[WXApi sendReq:request];进行付款。

个人认为这样处理较所有操作都在手机端进行安全性要高

当然,如果涉及到多个商品和优惠券的使用则数据处理的逻辑要更复杂一些

原文地址:https://www.cnblogs.com/guoyanbohb/p/9516624.html

时间: 2024-10-04 16:53:39

关于微信支付安全的一点小思考的相关文章

MySQL-Front 建表引发的一点小思考(数据表格模版)

我们建表的时候,有一些字段总是会常用到的.也就是每一张表都会有这些字段. 我用mysql有一点时间了,今天(2016-02-27 21:53:38)在用mysql-front建表的时候,感觉有点点不太舒服. 就是某些表格中的字段,基本上每一张表都会用到.我的做法是 从 某张建好的表格上复制过来.每次都需要点开已经 新建好的数据表来复制,粘贴字段.感觉有点点不方便. 然后我在想,如果可以提供一种类似 Visual studio 那种建项目的项目模板就好了.于是,查阅了下资料,在 github 上找

xss和实体编码的一点小思考

首先,浏览器渲染分以下几步: 解析HTML生成DOM树. 解析CSS生成CSSOM规则树. 将DOM树与CSSOM规则树合并在一起生成渲染树. 遍历渲染树开始布局,计算每个节点的位置大小信息. 将渲染树每个节点绘制到屏幕. 已知的问题: "" 之间的xss我们都知道可以使用伪协议,那么如果冒号或者javascript等关键字被过滤了我们应该如何解决? 我们可以在标签内通过实体编码触发xss: <a href="javascript:%6 1%6c%65%72%74%28

sqlserver数据库不能重命名报错5030——我的一点小思考

在学习asp.net的时候使用mssql‘经常会出现这种错误,数据库不能重名名5030的错误,其实很简单原因就是有应用程序正在占用这个连接,使用这样一行命令就可以查询出正在占用的连接 use master select spid from master.dbo.sysprocesses where dbid=db_id(‘ODatabaseName‘) 这时我们就有两个解决方案方案一就是使用 use master kill 54 方案二就是在现有数据库上设置单用户模式 原文地址:https://

小程序开通微信支付 --- 微信商户平台绑定微信小程序APPID

首先情况是这样的:现有公司有个公众号,已经开通了微信支付(已经有一个商户平台),现在需要开发 微信小程序(也有微信支付),如果在小程序里面重新申请 微信支付,就显得比较麻烦.腾讯官方已经提供了 一个商户平台可以绑定10个 appid .公众号也是如此. 首先进入小程序的后台:点击 微信支付 : 它会弹出让你选择 新申请 还是 绑定已有的微信支付账号.选择 "绑定" 安装里面的操作流程 去微信商户平台进行绑定即可: 按照上面的步骤在商户平台绑定完成之后,还需要回到小程序里面进行 M -

微信支付与支付宝钱包的竞争分析

NO1: 十九世纪七十年代起,“物竞天择,适者生存,优胜劣汰”已逐渐成为现代生物学的口号.而今,不知不觉中,它似乎也成了当代社会学的口号.罗素说:“竞争一直是,甚至从人类起源起就是对大部分激烈活动的剌激物.”所谓“长江后浪推前浪”,在人类资讯的迅速积累之下,如果不能追上时代,自然就要被淘汰了.竞争,已经成了当代社会政治经济发展的重要基础与必然趋势. 从远古时期的以物换物,到后来货币的出现,直到宋朝时第一张纸币“交子”问世,随着经济的不断发展,货币的形式也在不断地变化着. 2003年10月18日,

开发微信支付的一点心得

由于使用了别人封装的微信公众平台SDK http://www.cnblogs.com/x3d/p/3740454.html  ,所以省去了完整理解开发手册的时间. 微信支付,即便交了保证金,你还是处理测试阶段,不能正式发布.必须到你通过程序测试提交订单.发货通知等数据到微信的系统中,才能申请发布. 然后,因为在微信中是通过JS方式调用API,必须在微信后台设置支付授权目录,而且要到二级三级目录下去,这对于使用MVC框架来说,是个小问题. 使用MVC,在开发环境,url往往是native url格

微信支付之扫码、APP、小程序支付接入详解

做电商平台的小伙伴都知道,支付服务是必不可少的一部分,今天我们开始就说说支付服务的接入及实现.目前在国内,几乎90%中小公司的支付系统都离不开微信支付和支付宝支付.那么大家要思考了,为什么微信支付和支付宝支付能作为大多数公司接入的首选呢?其实这个问题大多小伙伴应该是很清楚的,说白了就是人家有庞大的用户流量,目前微信在国内的用户已突破10亿,支付宝也接近8亿左右,如此庞大的用户群体,你还会选择其他的第三方支付(微博钱包.财付通.快钱等)吗,作为普通客户,大家都希望能方便快捷,谁会为了在一个平台买点

小程序服务端集成微信支付

摘要: 换取openid->统一下单->发起支付,三步走,其中二次签名比较坑人. 该demo源码已托管到码云:http://git.oschina.net/dotton/lendoo-wx,欢迎下载. 理论上集成微信支付的全部工作可以在小程序端完成,因为小程序js有访问网络的能力,但是为了安全,不暴露敏感key,而且可以使用官方提供的现成php demo更省力,于是在服务端完成签名与发起请求,小程序端只做一个wx.requestPayment(OBJECT)接口的对接. 整体集成过程与JSAP

(实用篇)php官方微信接口大全(微信支付、微信红包、微信摇一摇、微信小店)

微信入口绑定,微信事件处理,微信API全部操作包含在这些文件中.内容有:微信摇一摇接口/微信多客服接口/微信支付接口/微信红包接口/微信卡券接口/微信小店接口/JSAPI <?php class WxApi { const appId = ""; const appSecret = ""; const mchid = ""; //商户号 const privatekey = ""; //私钥 public $parame