博客

难点

本次开发中主要的难点在于使用php生成sm2国密签名, 银行方面并没有专门的文档, 只给到一个java代码示例, 后续跟银行方开发要了一组数据和使用这组数据生成的sign (正是这组数据使开发过程走入了误区)

php类库

本次开发中使用了类库

composer require yuansir/php-gmssl

误区

在php代码中存在配置

// 是否固定签名不随机，好处是同一段参数的签名固定，增大别人的猜测的难度,
// 同样的key + document每次签名是一样的，如果为false则每次不一样
protected $useDerandomizedSignatures = true;

由注释可知当设置成false时相同参数每次生成的sign也是不同的

而之前银行方面给到的那组数据和sign一直作为了我们调试过程中是否正确的标准, 导致浪费了大量的时间,最后找java的朋友跑起了那段demo才发现这个问题每次sign都不一样,因此次数设置为

// 是否固定签名不随机，好处是同一段参数的签名固定，增大别人的猜测的难度,
// 同样的key + document每次签名是一样的，如果为false则每次不一样
protected $useDerandomizedSignatures = false;

关键

当然使用类库的

$sign = $sm2->doSign($data, $sm2Secret)

生成sign依然是不够的,如果给到的秘钥是base64格式还需要使用

$sign = $sm2->doSign($data, bin2hex(base64_decode($sm2Secret))

以上生成的sign依然无法验签通过,还需要进一步处理

$sign = $sm2->doSign($data, bin2hex(base64_decode($sm2Secret)));
//关键
$sign = base64_decode($sign);
$a = ASNObject::fromBinary($sign)->getChildren();
$aa = self::formatHex($a[0]->getContent());
$bb = self::formatHex($a[1]->getContent());
$sign = $aa . $bb;
$sign = base64_encode(hex2bin($sign));

public static function formatHex($dec)
{

    $hex = gmp_strval(gmp_init($dec, 10), 16);
    $len = strlen($hex);
    if ($len == 64) {
        return $hex;
    }
    if ($len < 64) {
        $hex = str_pad($hex, 64, '0', STR_PAD_LEFT);
    } else {
        $hex = substr($hex, $len - 64, 64);
    }

    return $hex;
}

此时拿到的sign才可以通过验签