集成支付宝钱包支付ios SDK的方法和经验

没想到，支付宝的SDK是我目前用过的所有第三方SDK中最难用的一个了。

下载

首先，你要想找到这个SDK，都得费点功夫。现在的SDK改名叫移动支付集成开发包了，下载页面在 这里 的 “请点此下载集成开发包”

文档

压缩包里有两个相关文档 ：
《支付宝钱包支付接口开发包2.0标准版.pdf》
《支付宝钱包支付接口开发包2.0标准版接入与使用规则.pdf》
iOS相关内容可以主要看第一个文档，第二个文档名字和里面写的不一样，内容其实是个附录；文档里面多个平台都涉及到了，内容有些杂乱。下面先解释下整体SDK的流程和要做的事，就好对症下药找文档内相应的内容了。

流程

摘自第一个文档《支付宝钱包支付接口开发包2.0标准版.pdf》

if ([url.host isEqualToString:@"safepay"]) {
[[AlipaySDK defaultService] processOrderWithPaymentResult:url
standbyCallback:^(NSDictionary *resultDic) {
NSLog(@"result = %@",resultDic);
}]; }

View Code
SDK也提供了一个处理openURL返回结果的方法

- (void)processOrderWithPaymentResult:(NSURL *)resultUrl
standbyCallback:(CompletionBlock)completionBlock;

两个回调block都统一定义为

typedef void(^CompletionBlock)(NSDictionary *resultDic);

，
返回了一个字典，但是SDK里完全没有提示有哪些key。。
你可以在文档里找到，或者自己实际试一下，返回的信息如下：

resultStatus，状态码，SDK里没对应信息，第一个文档里有提到：

9000 订单支付成功

8000 正在处理中

4000 订单支付失败

6001 用户中途取消

6002 网络连接出错

memo， 提示信息，比如状态码为6001时，memo就是“用户中途取消”。但千万别完全依赖这个信息，如果未安装支付宝app，采用网页支付时，取消时状态码是6001，但这个memo是空的。。（当我发现这个问题的时候，我就决定，对于这么不靠谱的SDK，还是尽量靠自己吧。。）

result，订单信息，以及签名验证信息。如果你不想做签名验证，那这个字段可以忽略了。。

如果你对支付的安全性不那么在意或重视的话，到这里就可以完成支付宝的集成了。
如果想更加安全，还是需要增加下面的签名验证的。

签名验证

首先，RSA只是一种算法，所以你可以使用任何一种开源的、或者自己去实现这个算法来实现签名和验证的目的。

在整个流程当中，因为涉及到了RSA公钥、私钥的生产，RSA的签名、验证签名，SHA1值的计算，base64和URL编码，所以支付宝用了一个开源的代码来统一解决这些问题，就是openssl（顺便再吐槽下，这DEMO里一放

openssl

，不知道又会引来多少公司的产品里使用

openssl

了，估计阿里自己也没少用，什么时候都能跟老罗、华为一样去赞助点呢。。）

如果你想省事，也用

openssl

，那你需要把这些东西都加入到项目中：DEMO中的

openssl目录

头文件，两个库文件

libcrypto.a libssl.a

，DEMO里支付宝自己写的

Util目录

订单签名

上面说了，订单签名应该用私钥，但是把私钥放到app里其实本身就不安全，因为你的app是分发到用户手里的，私钥应该放在自己的手里，分发出去的应该是公钥。
所以私钥最好是放在自己的服务器上，订单加密这个工作放在服务器端来做，服务器将包含签名的订单信息返回给app，app再通过SDK发送给支付宝，这样会更安全些；而且服务器也能掌握所有的订单状况。

如果你非要将私钥集成到app里，那可以参考SDK的DEMO，因为这个DEMO就是在app本地通过私钥做的订单签名。。

支付结果签名验证

上面的回调block提到了返回的内容，返回的支付结果中的

result

字段里是带有订单信息和签名信息的，所以签名验证就是需要这个字段的值。

文档中有一个这个字段的例子，实际结果没有换行，我换一下行便于阅读：

partner="2088101568358171"&seller_id="xxx@alipay.com"&out_trade_no="0819145412-6177"&subject="测试"&body="测试测试"&total_fee="0.01"¬ify_url="http://notify.msp.hk/notify.htm"&service="mobile.securitypay.pay"&payment_type="1"&_input_charset="utf-8"&it_b_pay="30m"&success="true"
&sign_type="RSA"
&sign="hkFZr+zE9499nuqDNLZEF7W75RFFPsly876QuRSeN8WMaUgcdR00IKy5ZyBJ4eldhoJ/2zghqrD4E2G2mNjs3aE+HCLiBXrPDNdLKCZ gSOIqmv46TfPTEqopYfhs+o5fZzXxt34fwdrzN4mX6S13cr3UwmEV4L3Ffir/02RBVtU="

总共分为三个部分

第一部分是订单信息，每个字段的具体含义可以在文档里找；

中间

sign_type

是签名用的算法，文档里说了，目前只支持RSA；

最后的

sign

就是签名值。

验证的步骤如下：

首先把订单信息和签名值分别提取出来（SDK居然都不给处理好。。）

订单信息就是

sign_type

的连字符

&

之前的所有字符串

签名值是

sign

后面双引号内的内容，注意签名的结尾也是

=

，所以不要用split字符串的方式提取

如果你想简单，可以直接使用

Util目录

下的

DataVerifier

来作签名验证

- (BOOL)verifyString:(NSString *)string withSign:(NSString *)signString;

第一个参数就是订单信息，第二个参数就是签名值。


以上，就是支付宝 iOS SDK的一些介绍。
总体来说，我觉得能靠自己处理的地方还是尽量不要依赖这个不太靠谱的SDK了。。