shop_platform - 串接藍新金流:TradeInfo

-

(本文使用的語言為 python 3)

文件:藍新金流 > API 文件下載 > 多功能收款 MPG。我下載時,版本是 1.6

TradeInfo 是什麼

根據文件第 33 頁的第一個表格,需要傳送給藍新金流的參數共有四個,其中一個就是 TradeInfo:

需要放進 TradeInfo 裡的參數欄位,如文件第 33~37 頁所列。準備好這些參數欄位後,要幫這些參數欄位加密,加密後的結果,才是要傳送給藍新金流的 TradeInfo。

加密

根據文件第 65~66 頁,可以看到,要先把參數欄位整理成 query string 的格式,才進行 AES 加密。AES 加密採用 CBC 模式,padding 的 blocksize 是 32。然後把加密後的結果轉成 16 進位。test case 為:

data = {
    'MerchantID': 3430112,
    'RespondType': 'JSON',
    'TimeStamp': 1485232229,
    'Version': 1.4,
    'MerchantOrderNo': 'S_1485232229',
    'Amt': 40,
    'ItemDesc': 'UnitTest'
}
Key = '12345678901234567890123456789012'
IV = '1234567890123456'
expect_output = 'ff91c8aa01379e4de621a44e5f11f72e4d25bdb1a18242db6cef9ef07d80b0165e476fd1d9acaa53170272c82d122961e1a0700a7427cfa1cf90db7f6d6593bbc93102a4d4b9b66d9974c13c31a7ab4bba1d4e0790f0cbbbd7ad64c6d3c8012a601ceaa808bff70f94a8efa5a4f984b9d41304ffd879612177c622f75f4214fa'

query string 格式

將不同的 key-value pair 用 & 隔開,key 和 value 之間用 = 隔開。像這樣:key1=value1&key2=value2

也就是說,test case 中的 data 轉換成 query string 格式後會長這樣:

MerchantID=3430112&RespondType=JSON&TimeStamp=1485232229&Version=1.4&MerchantOrderNo=S_1485232229&Amt=40&ItemDesc=UnitTest

data 轉 query string 實作:

from typing import Dict

def query_string_encode(data: Dict) -> str:
    key_value_pairs = []
    for key, value in data.items():
        key_value_pairs.append(f'{key}={value}')

    return '&'.join(key_value_pairs)

AES 加密

密鑰(key)和初始向量(iv),會在註冊藍新金流帳號時拿到。密鑰是英文大小寫和數字組成的,共有 32 個字。我目前的猜測是,這組密鑰轉成 ASCII 編碼的話,ASCII 編碼中的每個字元大小是 8 bits (= 1 byte),那麼 32 個字的密鑰,就是 32 * 8 bits = 256 bits,所以會被歸類在 AES 256 加密。

搜尋怎麼用 python 完成 AES 加密,查詢到的套件有 PyCrypto(已經停止維護,網友不推薦使用)、Pycryptodome(或者又叫 Pycryptodomex,結尾多一個 x)。似乎比較多人在用 Pycryptodome,最後使用 Pycryptodome。

AES 加密實作:

from typing import Dict, Union

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad

def aes_encrypt(data: str,
                key: bytes = HashKey.encode('ascii'),
                iv: bytes = HashIV.encode('ascii')) -> str:
    cipher = AES.new(key, AES.MODE_CBC, iv=iv)
    ciphered_data = cipher.encrypt(pad(data.encode('utf8'), block_size=32))
    return ciphered_data.hex()

有些參數只接受二進制或 bytearray 類型的資料,所以我用 string.encode() 函式將字串轉成二進制。因為我使用的 data 中可能有中文,所以是用 utf-8 的編碼方式轉成二進制資料。

PyCharm 一直提醒我:Package containing module 'Crypto' is not listed in the project requirements。看了幾篇關於 crypto、pycrypto、pycryptodome 、pycryptodomex 這幾個套件之間到底是什麼關係的文章後,我目前的理解是:

  • crypto 是 cli 用的。

  • pycrypto 多年前已停止維護,繼任者是 pycryptodome。

  • pycryptodome 和 pycryptodomex 功能是一樣的,他們之間的差別在於安裝的位置不同。前者會把套件安裝在 Crypto package 裡面,和 pycrypto 的安裝位置相同,所以 pycrypto 和 pycryptodome 不能並存;而後者則是安裝在 Cryptodome package 裡面,所以能夠和 pycrypto 並存。

我想,既然我的 Pipfile 裡面已經有寫「pycryptodome = "*"」,我的程式碼應該不會壞掉,所以就不管這個警告了。如果有人真的不喜歡這個警告,那麼我推測,不要安裝 pycryptodome,改成安裝 pycryptodomex 應該就可以解決了。

commit

參考資料

Comments

Post a Comment

Popular posts from this blog

Alpha Camp 全端開發課程學習心得

-
我喜歡邏輯,在哲學系求學時期,我花最多時間的科目,是形式邏輯。但是我一直不明白這個我相對擅長的科目,到底能用在什麼地方。我的邏輯能力,並沒有好到足夠讓我走上學術研究的路,那麼,或許我可以試著寫程式? 學生時期的我,自認沒有錢,但是有時間。捨不得花錢去上程式設計課程,寧願自己找資源學習。去上過一些免費的程式入門課程,c++ 和 python,對我而言不是很難,但是學完之後,我還是看不出來,要怎麼靠學到的東西解決生活中遇到的問題,漸漸地就沒有動力繼續學下去。 直到出社會,存了點錢,也漸漸體會到時間的重要,終於捨得花錢投資自己,到 Alpha Camp 上專業的課程,而不是無頭蒼蠅自己亂找一通,省下許多時間,也看到自己學的東西是真的能用的,讓我有動力繼續學下去。 我還記得學到串接 api 的時候,心裡真是太激動了。以前在學免費課程時,就隱約有種「我寫的程式,範圍只侷限在我的電腦上」的貧瘠感覺,而在知道了 api 後,發現「我寫的程式可以跟世界接上線了」,頓時覺得自己非常富有。不過,後來才知道,串別人的 api 服務通常是要付費的。 大概是受了形式邏輯的影響,我在學習程式語言時,總是試圖去辨認,哪些東西是比較基本的,基本的東西是透過什麼樣的規則組合出複雜的東西。例如,變數、array、for 迴圈和 function 是基本的東西,可以用這些基本的東西組合出 array 的 reduce 方法,像這樣: function mimicReduce(array, reducerFunction, initialValue) {     if (initialValue) {         let accumulator = initialValue         for (let i = 0; i < array.length; i++) {             accumulator = reducerFunction(accumulator, array[i])         }         return accumulator     } else {         let accumulator = array[0]         for (let i = 1; i < array.length; i
Read more

在 javascript 用 regular expression 為金額加上千位數分隔符號

-
 為了方便使用者快速判斷金額,所以想加上千位數分隔符號。例如: 3000 --> 3,000 3000000 --> 3,000,000 搜尋資料後,結論: 如果數字有小數點的話,可以用  const amount = '3000.00' amount.replace(/\B(?<!\.\d*)(?=(\d{3})+(?!\d))/g, ',') 參考資料: Javascript之數值千分位符號(Comma)的顯示 如果沒有小數點的話,可以用  const amount = '3000' amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',') 參考資料: [Javascrpt]轉換數字成含千分位的文字   不過這個鬼畫符的語法我完全看不懂,查資料的時候一度不肯相信這是真正的程式碼呢⋯⋯因緣際會在讀書會中,得到 Helix 同學提示的關鍵字「 regular expression」,決定試著弄懂,「amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',')」到底是什麼意思。 一、 String.prototype.replace() - MDN 範例:我不小心把 world 拼成 word,想要把句子裡所有的 word 都替換成  world。 const text = 'Hello word! Hello word!' console.log(text.replace('word', 'world')) 結果印出 Hello world! Hello word! 很不幸地,只有第一個錯字有替換,其他錯字都被放生了。如果想要替換全部的 word,就要這樣寫: const text = 'Hello word! Hello word!' console.log(text.replace( /word/ g , ' world '))
Read more

shop_platform - sqlalchemy.exc.TimeoutError

-
發生的問題 啟動伺服器後,第二十一次請求「需要查詢資料庫」的頁面時,會出現「sqlalchemy.exc.TimeoutError: QueuePool limit of size 10 overflow 10 reached, connection timed out, timeout 30.00 (Background on this error at: https://sqlalche.me/e/14/3o7r )」的錯誤訊息。如果請求是不需要查詢資料庫的(例如靜態檔案或前往登入頁面),就不會發生此錯誤。 把 size 和 overflow 設定成更小的數字,可以更快重現這個錯誤 。 感覺起來,就像查詢完資料庫以後,沒有把 connection 釋出一樣,導致「size + overflow」是多少,就只能查詢多少次資料庫。 發現瀏覽器每向伺服器請求一次「需要查詢資料庫」的頁面,在 MySQL Workbench 用 show PROCESSLIST; 指令的查詢結果就會多出一筆資料,筆數達到 size + overflow 時,若再次請求「需要查詢資料庫」的頁面,就會噴 QueuePool limit of size 10 overflow 10 reached 的錯誤。關閉伺服器時,那幾筆資料才會被刪除。 嘗試過但失敗的方法 app.run(debug=False) 自己註冊一個關閉 session 的函式 @app.teardown_appcontext # 改成 @app.teardown_request 也沒用 def teardown_db(exception): db.session.remove() # 改成 db.session.close() 也沒用 print('***** session.remove') # 這一行有印出來,所以此函式有被執行 把 FLASK_ENV=development 拿掉 ,於是 FLASK_ENV 變成預設的 production app.config["SQLALCHEMY_COMMIT_ON_TEARDOWN"] = True 終於成功的方法 第一種方法:用 Ap
Read more