商戶接入微信支付,調(diào)用API必須遵循以下規(guī)則:
傳輸方式 | 為保證交易安全性,采用HTTPS傳輸 |
---|---|
提交方式 | 采用POST方法提交 |
數(shù)據(jù)格式 | 提交和返回?cái)?shù)據(jù)都為XML格式,根節(jié)點(diǎn)名為xml |
字符編碼 | 統(tǒng)一采用UTF-8字符編碼 |
簽名算法 | MD5,后續(xù)會兼容SHA1、SHA256、HMAC等。 |
簽名要求 | 請求和接收數(shù)據(jù)均需要校驗(yàn)簽名,詳細(xì)方法請參考安全規(guī)范-簽名算法 |
證書要求 | 調(diào)用申請退款、撤銷訂單接口需要商戶證書 |
判斷邏輯 | 先判斷協(xié)議字段返回,再判斷業(yè)務(wù)返回,最后判斷交易狀態(tài) |
微信支付API接口協(xié)議中包含字段nonce_str,主要保證簽名不可預(yù)測。我們推薦生成隨機(jī)數(shù)算法如下:調(diào)用隨機(jī)數(shù)函數(shù)生成,將得到的值轉(zhuǎn)換為字符串。
(1)獲取API證書(什么是api證書?如何升級?)
微信支付接口中,涉及資金回滾的接口會使用到API證書,包括退款、撤銷接口。商家在申請微信支付成功后,收到的相應(yīng)郵件后,可以按照指引下載API證書,也可以按照以下路徑下載:微信商戶平臺(www.tg885.com)-->賬戶中心-->賬戶設(shè)置-->API安全 。證書文件說明如下:
證書附件 | 描述 | 使用場景 | 備注 |
---|---|---|---|
pkcs12格式 |
包含了私鑰信息的證書文件,為p12(pfx)格式,由微信支付簽發(fā)給您用來標(biāo)識和界定您的身份 |
撤銷、退款申請API中調(diào)用 |
windows上可以直接雙擊導(dǎo)入系統(tǒng),導(dǎo)入過程中會提示輸入證書密碼,證書密碼默認(rèn)為您的商戶ID(如:10010000) |
以下兩個證書在PHP環(huán)境中使用:
證書附件 | 描述 | 使用場景 | 備注 |
---|---|---|---|
證書pem格式 |
從apiclient_cert.pem中導(dǎo)出證書部分的文件,為pem格式,請妥善保管不要泄露和被他人復(fù)制 |
PHP等不能直接使用p12文件,而需要使用pem,為了方便您使用,已為您直接提供 |
您也可以使用openssl命令來自己導(dǎo)出:openssl?pkcs12?-clcerts?-nokeys?-in?apiclient_cert.pem?-out?apiclient_cert.pem |
證書密鑰pem格式 |
從apiclient_key.pem中導(dǎo)出密鑰部分的文件,為pem格式,請妥善保管不要泄露和被他人復(fù)制 |
PHP等不能直接使用p12文件,而需要使用pem,為了方便您使用,已為您直接提供 |
您也可以使用openssl命令來自己導(dǎo)出:openssl?pkcs12?-nocerts?-in?apiclient_cert.pem?-out?apiclient_key.pem |
(2)使用API證書
◆ apiclient_cert.p12是商戶證書文件,除PHP外的開發(fā)均使用此證書文件。
◆ 商戶如果使用.NET環(huán)境開發(fā),請確認(rèn)Framework版本大于2.0,必須在操作系統(tǒng)上雙擊安裝證書apiclient_cert.p12后才能被正常調(diào)用。
◆ API證書調(diào)用或安裝需要使用到密碼,該密碼的值為微信商戶號(mch_id)
(3)API證書安全
◆ 證書文件不能放在web服務(wù)器虛擬目錄,應(yīng)放在有訪問權(quán)限控制的目錄中,防止被他人下載;
◆ 建議將證書文件名改為復(fù)雜且不容易猜測的文件名;
◆ 商戶服務(wù)器要做好病毒和木馬防護(hù)工作,不被非法侵入者竊取證書文件。
在普通的網(wǎng)絡(luò)環(huán)境下,HTTP請求存在DNS劫持、運(yùn)營商插入廣告、數(shù)據(jù)被竊取,正常數(shù)據(jù)被修改等安全風(fēng)險。商戶回調(diào)接口使用HTTPS協(xié)議可以保證數(shù)據(jù)傳輸?shù)陌踩浴K晕⑿胖Ц督ㄗh商戶提供給微信支付的各種回調(diào)采用HTTPS協(xié)議。請參考:HTTPS搭建指南。
openid是微信用戶在公眾號appid下的唯一用戶標(biāo)識(appid不同,則獲取到的openid就不同),可用于永久標(biāo)記一個用戶,同時也是微信JSAPI支付的必傳參數(shù)。
Customer Service Tel
Business Development
9:00-18:00
Monday-Friday GMT+8
Technical Support
WeChat Pay Global
ICP證