商戶接入微信支付,調(diào)用API必須遵循以下規(guī)則:
傳輸方式 | 為保證交易安全性,采用HTTPS傳輸 |
---|---|
提交方式 | 采用POST方法提交 |
數(shù)據(jù)格式 | 提交和返回數(shù)據(jù)都為XML格式,根節(jié)點名為xml |
字符編碼 | 微信支付API v2僅支持UTF-8字符編碼的一個子集:使用一至三個字節(jié)編碼的字符。也就是說,不支持Unicode輔助平面中的四至六字節(jié)編碼的字符。 |
簽名算法 | MD5,后續(xù)會兼容SHA1、SHA256、HMAC等。 |
簽名要求 | 請求和接收數(shù)據(jù)均需要校驗簽名,詳細方法請參考安全規(guī)范-簽名算法 |
證書要求 | 調(diào)用申請退款、撤銷訂單接口需要商戶證書 |
判斷邏輯 | 先判斷協(xié)議字段返回,再判斷業(yè)務返回,最后判斷交易狀態(tài) |
注意:
? 必須嚴格按照API的說明進行一單一支付,一單一紅包,一單一付款,在未得到支付系統(tǒng)明確的回復之前不要換單,防止重復支付或者重復付款
微信支付API接口協(xié)議中包含字段nonce_str,主要保證簽名不可預測。我們推薦生成隨機數(shù)算法如下:調(diào)用隨機數(shù)函數(shù)生成,將得到的值轉(zhuǎn)換為字符串。
(1)獲取API證書(什么是api證書?如何升級?)
微信支付接口中,涉及資金回滾的接口會使用到API證書,包括退款、撤銷接口。商家在申請微信支付成功后,收到的相應郵件后,可以按照指引下載API證書,也可以按照以下路徑下載:微信商戶平臺(www.tg885.com)-->賬戶中心-->賬戶設置-->API安全 。證書文件說明如下:
證書附件 | 描述 | 使用場景 | 備注 |
---|---|---|---|
pkcs12格式 |
包含了私鑰信息的證書文件,為p12(pfx)格式,由微信支付簽發(fā)給您用來標識和界定您的身份 |
撤銷、退款申請API中調(diào)用 |
windows上可以直接雙擊導入系統(tǒng),導入過程中會提示輸入證書密碼,證書密碼默認為您的商戶ID(如:10010000) |
以下兩個證書在PHP環(huán)境中使用:
證書附件 | 描述 | 使用場景 | 備注 |
---|---|---|---|
證書pem格式 |
從apiclient_cert.pem中導出證書部分的文件,為pem格式,請妥善保管不要泄露和被他人復制 |
PHP等不能直接使用p12文件,而需要使用pem,為了方便您使用,已為您直接提供 |
您也可以使用openssl命令來自己導出:openssl?pkcs12?-clcerts?-nokeys?-in?apiclient_cert.pem?-out?apiclient_cert.pem |
證書密鑰pem格式 |
從apiclient_key.pem中導出密鑰部分的文件,為pem格式,請妥善保管不要泄露和被他人復制 |
PHP等不能直接使用p12文件,而需要使用pem,為了方便您使用,已為您直接提供 |
您也可以使用openssl命令來自己導出:openssl?pkcs12?-nocerts?-in?apiclient_cert.pem?-out?apiclient_key.pem |
(2)使用API證書
◆ apiclient_cert.p12是商戶證書文件,除PHP外的開發(fā)均使用此證書文件。
◆ 商戶如果使用.NET環(huán)境開發(fā),請確認Framework版本大于2.0,必須在操作系統(tǒng)上雙擊安裝證書apiclient_cert.p12后才能被正常調(diào)用。
◆ API證書調(diào)用或安裝需要使用到密碼,該密碼的值為微信商戶號(mch_id)
(3)API證書安全
◆ 證書文件不能放在web服務器虛擬目錄,應放在有訪問權限控制的目錄中,防止被他人下載;
◆ 建議將證書文件名改為復雜且不容易猜測的文件名;
◆ 商戶服務器要做好病毒和木馬防護工作,不被非法侵入者竊取證書文件。
在普通的網(wǎng)絡環(huán)境下,HTTP請求存在DNS劫持、運營商插入廣告、數(shù)據(jù)被竊取,正常數(shù)據(jù)被修改等安全風險。商戶回調(diào)接口使用HTTPS協(xié)議可以保證數(shù)據(jù)傳輸?shù)陌踩浴K晕⑿胖Ц督ㄗh商戶提供給微信支付的各種回調(diào)采用HTTPS協(xié)議。請參考:HTTPS搭建指南。