微信支付分通過授權(quán)/解除授權(quán)服務(wù)通知接口將用戶通過授權(quán)/解除授權(quán)服務(wù)消息通知給商戶。
注意
- 同樣的通知可能會多次發(fā)送給商戶系統(tǒng)。商戶系統(tǒng)必須能夠正確處理重復(fù)的通知。推薦的做法是,當(dāng)收到通知進(jìn)行處理時,首先檢查對應(yīng)業(yè)務(wù)數(shù)據(jù)的狀態(tài),判斷該通知是否已經(jīng)處理過,如果沒有處理過再進(jìn)行處理,如果處理過直接返回結(jié)果成功。在對業(yè)務(wù)數(shù)據(jù)進(jìn)行狀態(tài)檢查和處理之前,要采用數(shù)據(jù)鎖進(jìn)行并發(fā)控制,以避免函數(shù)重入造成的數(shù)據(jù)混亂。
- sub_openid 和 OpenID 只會返回一個字段,標(biāo)識授權(quán)/解除授權(quán)的用戶標(biāo)識。
特別提醒: 商戶系統(tǒng)對于服務(wù)授權(quán)/解除授權(quán)結(jié)果通知的內(nèi)容一定要做簽名驗證,并校驗通知的信息是否與商戶側(cè)的信息一致,防止數(shù)據(jù)泄露導(dǎo)致出現(xiàn)“假通知”,造成資金損失。
# 接口說明
支持商戶: 【普通服務(wù)商】
請求方式: 【POST】
請求URL: 該鏈接是通過商戶【商戶預(yù)授權(quán)】提交notify_url參數(shù),必須為HTTPS協(xié)議。如果鏈接無法訪問,商戶將無法接收到微信通知。 通知URL必須為直接可訪問的URL,不能攜帶參數(shù)。示例:http://www.tg885.com/wxpay/pay.action (opens new window)
# 通知規(guī)則
用戶授權(quán)/解除授權(quán)完成后,微信后臺會把用戶的OpenID和商戶的out_request_no(授權(quán)服務(wù)專屬)的關(guān)聯(lián)信息發(fā)送給商戶,以便關(guān)聯(lián)請求的上下文(商戶需要通過OpenID來給相應(yīng)用戶下單),商戶需要接收處理該消息,并返回應(yīng)答。
對后臺通知交互時,如果微信收到商戶的應(yīng)答不符合規(guī)范或超時,微信認(rèn)為通知失敗,微信會通過一定的策略定期重新發(fā)起通知,盡可能提高通知的成功率,但微信不保證通知最終能成功。 (通知頻率為0s/15s/15s/30s/180s/1800s/1800s/1800s/1800s/3600s)3600s后為周期進(jìn)行重試(3600S為一個周期),重試超過3天后不再通知。
# 通知報文
服務(wù)授權(quán)/解除授權(quán)結(jié)果通知是以POST方法訪問商戶設(shè)置的通知URL,通知的數(shù)據(jù)以JSON格式通過請求主體(BODY)傳輸。通知的數(shù)據(jù)包括了加密的授權(quán)/解除授權(quán)結(jié)果詳情。
注意
由于涉及到回調(diào)加密和解密,商戶必須先設(shè)置好APIv3密鑰后才能解密回調(diào)通知,APIv3密鑰設(shè)置文檔指引詳見APIv3密鑰設(shè)置指引 (opens new window))
# 步驟說明
# 步驟一:驗證簽名
微信支付會對發(fā)送給商戶的通知進(jìn)行簽名,并將簽名值放在通知的HTTP頭Wechatpay-Signature。商戶應(yīng)當(dāng)驗證簽名,以確認(rèn)請求來自微信,而不是其他的第三方。簽名驗證的算法請參考 《微信支付API v3簽名驗證》。
# 步驟二:參數(shù)解密
為了保證安全性,微信支付在回調(diào)通知,對關(guān)鍵信息進(jìn)行了AES-256-GCM加密。商戶應(yīng)當(dāng)按照以下的流程進(jìn)行解密關(guān)鍵信息,解密的流程:
- 用商戶平臺上設(shè)置的APIv3密鑰【微信服務(wù)商平臺 (opens new window)—>賬戶設(shè)置—>API安全—>設(shè)置APIv3密鑰】,記為key;
- 獲取resource.algorithm中描述的算法(目前為AEAD_AES_256_GCM),以及resource.nonce和resource.associated_data;
- 使用key、nonce和associated_data,對數(shù)據(jù)密文resource.ciphertext進(jìn)行解密,得到JSON形式的資源對象。
注意
- AEAD_AES_256_GCM算法的接口細(xì)節(jié),請參考rfc5116 (opens new window)。微信支付使用的密鑰key長度為32個字節(jié),隨機(jī)串nonce長度12個字節(jié),associated_data長度小于16個字節(jié)并可能為空。
- Java回調(diào)解密Json取值不帶引號。
# 字段說明
# 通知參數(shù)
- id 必填 string(32)【通知ID】
通知的唯一ID。 - create_time 必填 string(32)【通知創(chuàng)建時間】
通知創(chuàng)建的時間,遵循rfc3339標(biāo)準(zhǔn)格式,格式為yyyy-MM-DDTHH:mm:ss+TIMEZONE,yyyy-MM-DD表示年月日,T出現(xiàn)在字符串中,表示time元素的開頭,HH:mm:ss表示時分秒,TIMEZONE表示時區(qū)(+08:00表示東八區(qū)時間,領(lǐng)先UTC 8小時,即北京時間)。例如:2015-05-20T13:29:35+08:00表示,北京時間2015年5月20日13點29分35秒。 - event_type 必填 string(32)【通知類型】
通知的類型:1、授權(quán)成功通知的類型為PAYSCORE.USER_OPEN_SERVICE2、解除授權(quán)成功通知的類型為PAYSCORE.USER_CLOSE_SERVICE3、用戶確認(rèn)成功通知的類型為PAYSCORE.USER_CONFIRM4、支付成功通知的類型為PAYSCORE.USER_PAID - resource_type 必填 string(32)【通知數(shù)據(jù)類型】
通知的資源數(shù)據(jù)類型,授權(quán)/解除授權(quán)成功通知為encryptresource。 - resource 必填 object【通知數(shù)據(jù)】
通知資源數(shù)據(jù)json格式,見示例- 屬性
- summary 必填 string(64)【回調(diào)摘要】
回調(diào)摘要
授權(quán)結(jié)果通知
# 授權(quán)/解除授權(quán)成功通知參數(shù)
- appid 必填 string(32)【應(yīng)用ID】
調(diào)用授權(quán)服務(wù)接口提交的應(yīng)用ID。 - mchid 必填 string(32)【商戶號】
調(diào)用授權(quán)服務(wù)接口提交的商戶號。 - sub_appid 選填 string(32)【子商戶應(yīng)用ID】
子商戶申請的公眾號或移動應(yīng)用AppID。 - sub_mchid 必填 string(32)【子商戶的商戶號】
子商戶商戶號,由微信支付生成并下發(fā)。 - service_id 必填 string(32)【服務(wù)ID】
調(diào)用授權(quán)服務(wù)接口提交的服務(wù)ID。 - openid 選填 string(128)【用戶標(biāo)識】
微信用戶在商戶對應(yīng)AppID下的唯一標(biāo)識。(傳了sub_appid的情況下則只返回sub_openid;OpenID與sub_openid參數(shù)二選一,必填) - sub_openid 選填 string(128)【子商戶公眾號下OpenID】
微信用戶在商戶對應(yīng)sub_appid下的唯一標(biāo)識。(傳了sub_appid的情況下則只返回sub_openid;OpenID與sub_openid參數(shù)二選一,必填) - user_service_status 選填 string(32)【回調(diào)狀態(tài)】
1、USER_OPEN_SERVICE:授權(quán)成功2、USER_CLOSE_SERVICE:解除授權(quán)成功 - openorclose_time 選填 string(32)【服務(wù)授權(quán)/解除授權(quán)時間】
服務(wù)授權(quán)/解除授權(quán)成功時間。 - authorization_code 選填 string(32)【授權(quán)協(xié)議號】
授權(quán)協(xié)議號。
商戶對resource對象進(jìn)行解密后,得到的資源對象示例
1{2 "appid": "wxd678efh567hg6787",3 "mch_id": "1230000109",4 "sub_appid": "wxd678efh567hg6787",5 "sub_mch_id": "1230000109",6 "service_id": "500001",7 "sub_openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",8 "user_service_status":"USER_OPEN_SERVICE",9 "openorclose_time":"20180225112233",10 "authorization_code" : "4534323JKHDFE1243252"11}
解除授權(quán)結(jié)果通知
1{2 "id":"EV-2018022511223320873",3 "create_time":"2019-07-30T16:36:59+08:00",4 "resource_type":"encrypt-resource",5 "event_type":"PAYSCORE.USER_CLOSE_SERVICE",6 "resource" : {7 "algorithm":"AEAD_AES_256_GCM",8 "ciphertext": "...",9 "nonce": "...",10 "associated_data": "",11 }12}
商戶對resource對象進(jìn)行解密后,得到的資源對象示例
1{2 "appid": "wxd678efh567hg6787",3 "mch_id": "1230000109",4 "sub_appid": "wxd678efh567hg6786",5 "sub_mch_id": "1230000109",6 "service_id": "500001",7 "sub_openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",8 "user_service_status":"USER_CLOSE_SERVICE",9 "openorclose_time":"20180225112233",10 "authorization_code" : "4534323JKHDFE1243252"11}
# 通知應(yīng)答
接收成功: HTTP應(yīng)答狀態(tài)碼需返回200或204,無需返回應(yīng)答報文。
接收失敗: HTTP應(yīng)答狀態(tài)碼需返回5XX或4XX,同時需返回應(yīng)答報文,格式如下:
- code 必填 string(32)【返回狀態(tài)碼】
錯誤碼,SUCCESS為清算機(jī)構(gòu)接收成功,其他錯誤碼為失敗。 - message 選填 string(256)【返回信息】
返回信息,如非空,為錯誤原因。
應(yīng)答示例
1{ 2 "code": "FAIL",3 "message": "失敗"4}