支付通知
更新时间:2024.12.18一、回调描述
用户使用普通支付(APP支付/H5支付/JSAPI支付/Native支付/小程序支付)功能,当用户成功支付订单后,微信支付会通过POST的请求方式,向商户预先设置的回调地址(APP支付/H5支付/JSAPI支付/Native支付/小程序支付下单接口传入的notify_url)发送回调通知,让商户知晓用户已完成支付。
注意: 商户侧对微信支付回调IP有防火墙策略限制的,需要对微信回调IP段开通白名单,否则会导致收不到回调(微信支付回调被商户防火墙拦截),详情参考回调处理逻辑注意事项。
二、回调处理步骤
1、商户接收回调通知报文
微信支付会通过POST的方式向回调地址发送回调报文,回调报文的HTTP请求头中会包含报文的签名信息,用于后续验签,具体如下:
参数 | 描述 |
|---|---|
Wechatpay-Serial | |
Wechatpay-Signature | 验签的签名值 |
Wechatpay-Timestamp | 验签的时间戳 |
Wechatpay-Nonce | 验签的随机字符串 |
回调通知的请求主体中会包含JSON格式的通知参数,具体的通知参数列表如下:
通知参数
body 包体参数
id 必填 string(36)
【通知ID】回调通知的唯一编号。
create_time 必填 string(32)
【通知创建时间】
1、定义:本次回调通知创建的时间。
2、格式:遵循rfc3339标准格式:yyyy-MM-DDTHH:mm:ss+TIMEZONE。yyyy-MM-DD 表示年月日;T 字符用于分隔日期和时间部分;HH:mm:ss 表示具体的时分秒;TIMEZONE 表示时区(例如,+08:00 对应东八区时间,即北京时间)。
示例:2015-05-20T13:29:35+08:00 表示北京时间2015年5月20日13点29分35秒。
event_type 必填 string(32)
【通知的类型】微信支付回调通知的类型。
支付成功通知的类型为TRANSACTION.SUCCESS。
resource_type 必填 string(32)
【通知数据类型】通知的资源数据类型,固定为encrypt-resource。
resource 必填 object
【通知数据】通知资源数据。
 | 属性 |
summary 必填 string(64)
【回调摘要】微信支付对回调内容的摘要备注。
支付成功结果通知
2、回调验签与应答
商户接收到回调通知报文后,需在5秒内完成对报文的验签,并应答回调通知。
2.1、对回调通知进行验签
验签需使用请求头中的【Wechatpay-Timestamp】、【Wechatpay-Nonce】以及请求主体中JSON格式的通知参数构建出验签串,然后使用【Wechatpay-Serial】对应的微信支付平台证书/微信支付公钥对验签串和【Wechatpay-Signature】进行验签,确保接收的回调内容是来自微信支付。
详细验签步骤请参考:如何验证签名
微信支付会在极少数通知回调中返回以“WECHATPAY/SIGNTEST/”开头的错误【Wechatpay-Signature】,以检测商户系统是否正确验证签名。商户请参考:如何应对签名探测流量进行处理。
2.2、对回调通知进行应答
商户验签后,根据验签结果对回调进行应答:
验签通过:商户需告知微信支付接收回调成功,HTTP应答状态码需返回200或204,无需返回应答报文。
验签不通过:商户需告知微信支付接收回调失败,HTTP应答状态码需返回5XX或4XX,同时需返回以下应答报文:
body 包体参数
code 选填 string(32)
【返回状态码】商户验签不通过时返回FAIL,代表回调接收失败。
message 选填 string(256)
【返回信息】返回信息,回调接收失败原因。
应答成功示例
200或204
应答失败示例
5XX或4XX
2.3、微信支付回调处理机制说明
微信支付接收到商户的应答后,会根据应答结果做对应的逻辑处理:
若商户应答回调接收成功,微信支付将不再重复发送该回调通知。若因网络或其他原因,商户收到了重复的回调通知,请按正常业务流程进行处理并应答。
若商户应答回调接收失败,或超时(5s)未应答时,微信支付会按照(15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h)的频次重复发送回调通知,直至微信支付接收到商户应答成功,或达到最大发送次数(15次)
3、对回调通知内容进行解密
为了保证业务信息的安全性,微信支付将业务信息进行了AES-256-GCM加密,并通过参数resource将加密信息回调给商户,商户需要进行解密后才能获取到业务信息。
解密步骤如下:
获取商户平台上设置的APIv3密钥,记为key;
通过回调通知参数resource.algorithm确认加密算法(目前仅支持AEAD_AES_256_GCM,算法的接口细节,请参考:rfc5116)。
使用key与回调通知参数resource.nonce和resource.associated_data,对数据密文resource.ciphertext进行解密,最终可得到JSON格式的业务信息。
解密示例代码可参考文档:如何解密证书和回调报文
注意
使用Java进行回调解密,取JSON串内的参数值时,只需取引号内的内容进行解密。例:"nonce":"123",只需取值123,不用取加上引号的"123"。
resource解密后字段
body 包体参数
appid 必填 string(32)
【公众账号ID】商户下单时传入的公众账号ID。
mchid 必填 string(32)
【商户号】商户下单时传入的商户号。
out_trade_no 必填 string(32)
【商户订单号】商户下单时传入的商户系统内部订单号。
transaction_id 必填 string(32)
【微信支付订单号】 微信支付侧订单的唯一标识。
trade_type 必填 string(16)
【交易类型】 返回当前订单的交易类型,枚举值:
JSAPI:公众号支付、小程序支付
NATIVE:Native支付
APP:APP支付
MICROPAY:付款码支付
MWEB:H5支付
FACEPAY:刷脸支付
trade_state 必填 string(32)
【交易状态】 交易状态,详细业务流转状态处理请参考开发指引-订单状态流转图。枚举值:
SUCCESS:支付成功
REFUND:转入退款
NOTPAY:未支付
CLOSED:已关闭
REVOKED:已撤销(仅付款码支付会返回)
USERPAYING:用户支付中(仅付款码支付会返回)
PAYERROR:支付失败(仅付款码支付会返回)
trade_state_desc 必填 string(256)
【交易状态描述】 对交易状态的详细说明。
bank_type 必填 string(32)
【银行类型】 用户支付方式说明,订单支付成功后返回,格式为:银行简码_具体类型(DEBIT借记卡/CREDIT信用卡/ECNY数字人民币),例如ICBC_DEBIT代表工商银行借记卡,非银行卡支付类型(例如余额/零钱通等)统一为OTHERS,具体请参考《银行类型对照表》。
attach 选填 string(128)
【商户数据包】商户下单时传入的自定义数据包,用户不可见,长度不超过128字符,若下单传入该参数,则订单支付成功后此接口和查询订单接口以及交易账单中会原样返回;若下单未传该参数,则不会返回。
success_time 必填 string(64)
【支付完成时间】
1、定义:用户完成订单支付的时间。
2、格式:遵循rfc3339标准格式:yyyy-MM-DDTHH:mm:ss+TIMEZONE。yyyy-MM-DD 表示年月日;T 字符用于分隔日期和时间部分;HH:mm:ss 表示具体的时分秒;TIMEZONE 表示时区(例如,+08:00 对应东八区时间,即北京时间)。
示例:2015-05-20T13:29:35+08:00 表示北京时间2015年5月20日13点29分35秒。
payer 必填 object
【支付者】 订单的支付者信息。
| 属性 |
amount 必填 object
【订单金额】 订单金额信息,当支付成功时返回该字段。
| 属性 |
scene_info 选填 object
【场景信息】 若下单传入该参数,则原样返回;若下单未传该参数,则不会返回。
| 属性 |
promotion_detail 选填 array
【优惠功能】 代金券信息,当订单支付时,有使用代金券时,该字段将返回所使用的代金券信息。
| 数组 |
对resource对象进行解密后,得到的资源对象示例
