微信支付分通過開啟/解除授權服務通知接口將用戶開啟/解除授權服務消息通知給商戶。
注意
- 同樣的通知可能會多次發(fā)送給商戶系統(tǒng)。商戶系統(tǒng)必須能夠正確處理重復的通知。 推薦的做法是,當商戶系統(tǒng)收到通知進行處理時,先檢查對應業(yè)務數據的狀態(tài),并判斷該通知是否已經處理。如果未處理,則再進行處理;如果已處理,則直接返回結果成功。在對業(yè)務數據進行狀態(tài)檢查和處理之前,要采用數據鎖進行并發(fā)控制,以避免函數重入造成的數據混亂。
特別提醒: 商戶系統(tǒng)對于服務授權/解除授權結果通知的內容一定要做簽名驗證,并校驗通知的信息是否與商戶側的信息一致,防止數據泄露導致出現“假通知”,造成資金損失。
# 接口說明
支持商戶: 【普通商戶】
請求方式: 【POST】
請求域名: 該鏈接:普通授權模式是通過[商戶入駐配置申請表]提交service_notify_url設置,預授權模式是通過商戶預授權提交的notify_url設置,必須為HTTPS協議。如果鏈接無法訪問,商戶將無法接收到微信通知。 通知URL必須為直接可訪問的URL,不能攜帶參數。示例:"http://www.tg885.com/wxpay/pay.action"
# 通知規(guī)則
用戶開啟/解除授權完成后,微信后臺會把用戶的OpenID和商戶的out_request_no(授權服務專屬)的關聯信息發(fā)送給商戶,以便關聯請求的上下文(商戶需要通過OpenID來給相應用戶下單),商戶需要接收處理該消息,并返回應答。
對后臺通知交互時,如果微信收到商戶的應答不符合規(guī)范或超時,微信認為通知失敗,微信會通過一定的策略定期重新發(fā)起通知,盡可能提高通知的成功率,但微信不保證通知最終能成功。(通知頻率為0s/15s/15s/30s/180s/1800s/1800s/1800s/1800s/3600s)3600s后為周期進行重試(3600S為一個周期),重試超過3天后不再通知。
# 通知報文
服務開啟/解除授權結果通知是以POST方法訪問商戶設置的通知URL,通知的數據以JSON格式通過請求主體(BODY)傳輸。通知的數據包括了加密的授權/解除授權結果詳情。
注意
由于涉及到回調加密和解密,商戶必須先設置好APIv3密鑰后才能解密回調通知,APIv3密鑰設置文檔指引詳見APIv3密鑰設置指引 (opens new window))
# 步驟說明
# 步驟一:驗證簽名
微信支付會對發(fā)送給商戶的通知進行簽名,并將簽名值放在通知的HTTP頭Wechatpay-Signature。商戶應當驗證簽名,以確認請求來自微信,而不是其他的第三方。簽名驗證的算法請參考 《微信支付API v3簽名驗證》。
# 步驟二:參數解密
為了保證安全性,微信支付在回調通知,對關鍵信息進行了AES-256-GCM加密。商戶應當按照以下的流程進行解密關鍵信息,解密的流程:
- 用商戶平臺上設置的APIv3密鑰【微信商戶平臺 (opens new window)—>賬戶設置—>API安全—>設置APIv3密鑰】,記為key;
- 獲取resource.algorithm中描述的算法(目前為AEAD_AES_256_GCM),以及resource.nonce和resource.associated_data;
- 使用key、nonce和associated_data,對數據密文resource.ciphertext進行解密,得到JSON形式的資源對象。
注意
- AEAD_AES_256_GCM算法的接口細節(jié),請參考rfc5116 (opens new window)。微信支付使用的密鑰key長度為32個字節(jié),隨機串nonce長度12個字節(jié),associated_data長度小于16個字節(jié)并可能為空。
- Java回調解密Json取值不帶引號。
# 字段說明
# 通知參數
- id 必填 string(36)通知的唯一ID。
- create_time 必填 string(32)通知創(chuàng)建的時間,遵循rfc3339
標準格式,格式為yyyy-MM-DDTHH:mm:ss+TIMEZONE,yyyy-MM-DD表示年月日,T出現在字符串中,表示time元素的開頭,HH:mm:ss表示時分秒,TIMEZONE表示時區(qū)(+08:00表示東八區(qū)時間,領先UTC 8小時,即北京時間)。例如:2015-05-20T13:29:35+08:00表示,北京時間2015年5月20日13點29分35秒。 - event_type 必填 string(32)通知的類型:1、授權成功通知的類型為PAYSCORE.USER_OPEN_SERVICE2、解除授權成功通知的類型為PAYSCORE.USER_CLOSE_SERVICE3、用戶確認成功通知的類型為PAYSCORE.USER_CONFIRM4、支付成功通知的類型為PAYSCORE.USER_PAID
- resource_type 必填 string(32)通知的資源數據類型,授權/解除授權成功通知為encryptresource。
- resource 必填 object通知資源數據json格式,見示例
- 屬性
- summary 必填 string(64)回調摘要
授權結果通知
1{2 "id":"EV-2018022511223320873",3 "create_time":"2019-07-30T16:36:59+08:00",4 "resource_type":"encrypt-resource",5 "event_type":"PAYSCORE.USER_OPEN_SERVICE",6 "resource" : {7 "algorithm":"AEAD_AES_256_GCM",8 "ciphertext": "...",9 "nonce": "...",10 "associated_data": "",11 },12 "summary": "授權成功"13}# resource解密后字段
- appid 必填 string(32)調用授權服務接口提交的應用ID。
- mchid 必填 string(32)調用授權服務接口提交的商戶號。
- out_request_no 選填 string(64)調用授權服務接口提交的商戶請求唯一標識(新簽約的用戶,且在授權簽約中上傳了該字段,則在解約授權回調通知中有返回)。
- service_id 必填 string(32)調用授權服務接口提交的服務ID。
- openid 必填 string(128)微信用戶在商戶對應AppID下的唯一標識。
- user_service_status 選填 string(32)1、USER_OPEN_SERVICE:授權成功2、USER_CLOSE_SERVICE:解除授權成功
- openorclose_time 選填 string(32)服務開啟/解除授權成功時間。
- authorization_code 選填 string(32)商戶系統(tǒng)內部授權協議號,預授權時返回,非預授權不返回。
對resource對象進行解密后,得到的資源對象示例
1{2 "appid": "wxd678efh567hg6787",3 "mchid": "1230000109",4 "service_id": "500001",5 "openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",6 "user_service_status":"USER_CLOSE_SERVICE",7 "openorclose_time":"20180225112233",8 "authorization_code":"1275342195190894594",9 "out_request_no":"1234323JKHDFE1243252"10}# 通知應答
接收成功: HTTP應答狀態(tài)碼需返回200或204,無需返回應答報文。
接收失敗: HTTP應答狀態(tài)碼需返回5XX或4XX,同時需返回應答報文,格式如下:
- code 必填 string(32)【返回狀態(tài)碼】
錯誤碼,SUCCESS為清算機構接收成功,其他錯誤碼為失敗。 - message 選填 string(256)【返回信息】
返回信息,如非空,為錯誤原因。
應答示例
1{ 2 "code": "FAIL",3 "message": "失敗"4}
