在上一篇博客中,最后有一句话:
回调时不能对登录信息有强制要求.
为什么呢?
按照常规思维,我们会想:如果不要求登录信息,那么任何人都可以确认订单(把订单的状态修改为已支付)了.
这是非常不安全的.
但是,这个接口是第三方异步调用的,无法获取登录信息.
不安全吗?
安全,因为有验签
下面是一个典型的验签流程:
![](https://img.laitimes.com/img/_0nNw4CM6IyYiwiM6ICdiwiInBnaugDOlJzNjV2M1gDO40CZhVWOtIzY4MTLlJjNl1iZ3UjN4UmZz8CX3UjM18CX0ETMw8CX05WZth2YhRHdh9CXkF2bsBXdvwVbvNmLllXZ0lmLywGZvw1LcpDc0RHaiojIsJye.jpg)
应用商店支付回调的验签流程如下:
上面的图有点问题:
3次握手:
参考:
http://hw1287789687.iteye.com/blog/2268658
http://blog.csdn.net/hw1287789687/article/details/17767201
验签:http://blog.csdn.net/hw1287789687/article/details/45642041