授权/解除授权服务回调通知

更新时间：2024.11.18

微信支付分通过授权/解除授权服务通知接口将用户通过授权/解除授权服务消息通知给商户。

注意

同样的通知可能会因为系统重试多次发送给商户系统。商户系统必须能够正确处理重复的通知。推荐的做法是，当商户系统收到通知进行处理时，先检查对应业务数据的状态，并判断该通知是否已经处理。如果未处理，则再进行处理；如果已处理，则直接返回结果成功。在对业务数据进行状态检查和处理之前，要采用数据锁进行并发控制，以避免函数重入造成的数据混乱。
sub_openid 和 OpenID 只会返回一个字段，标识授权/解除授权的用户标识。

特别提醒：商户系统对于开启结果通知的内容一定要做签名验证，并校验通知的信息是否与商户侧的信息一致，防止数据泄露导致出现假通知，造成资金损失。

接口说明

适用对象: 【从业机构（支付机构）】

请求方式：【POST】

请求URL: 该链接是通过【从业机构预授权】提交notify_url参数设置，必须为HTTPS协议。如果链接无法访问，商户将无法接收到微信通知。通知URL必须为直接可访问的URL，不能携带参数。示例："https://pay.weixin.qq.com/wxpay/pay.action"

通知规则

用户授权/解除授权完成后，微信后台会把用户的OpenID和商户的out_request_no（授权服务专属）的关联信息发送给商户，以便关联请求的上下文（商户需要通过OpenID来给相应用户下单），商户需要接收处理该消息，并返回应答。

对后台通知交互时，如果微信收到商户的应答不符合规范或超时，微信认为通知失败，微信会通过一定的策略定期重新发起通知，尽可能提高通知的成功率，但微信不保证通知最终能成功。（通知频率为15/15/30/180/1800/1800/1800/1800/3600，单位：秒），重试超过3天后不再通知。

通知报文

服务授权/解除授权结果通知是以POST方法访问商户设置的通知URL，通知的数据以JSON格式通过请求主体（BODY）传输。通知的数据包括了加密的授权/解除授权结果详情。

注意

由于涉及到回调加密和解密，商户必须先设置好APIv3密钥后才能解密回调通知，APIv3密钥设置文档指引详见APIv3密钥设置指引

步骤说明

步骤一：验证签名

微信支付会对发送给商户的通知进行签名，并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名，以确认请求来自微信，而不是其他的第三方。签名验证的算法请参考《微信支付API v3签名验证》。

步骤二：参数解密

为了保证安全性，微信支付在回调通知，对关键信息进行了AES-256-GCM加密。商户应当按照以下的流程进行解密关键信息，解密的流程：

用商户平台上设置的APIv3密钥【微信服务商平台—>账户设置—>API安全—>设置APIv3密钥】，记为key；
获取resource.algorithm中描述的算法（目前为AEAD_AES_256_GCM），以及resource.nonce和resource.associated_data；
使用key、nonce和associated_data，对数据密文resource.ciphertext进行解密，得到JSON形式的资源对象。

注意

AEAD_AES_256_GCM算法的接口细节，请参考rfc5116。微信支付使用的密钥key长度为32个字节，随机串nonce长度12个字节，associated_data长度小于16个字节并可能为空。
Java回调解密Json取值不带引号。

字段说明

通知参数

BODY 包体参数

id 必填 string(36)

通知的唯一ID。

create_time 必填 string(32)

通知创建的时间，遵循rfc3339标准格式，格式为yyyy-MM-DDTHH:mm:ss+TIMEZONE，yyyy-MM-DD表示年月日，T出现在字符串中，表示time元素的开头，HH:mm:ss表示时分秒，TIMEZONE表示时区（+08:00表示东八区时间，领先UTC 8小时，即北京时间）。例如：2020-03-26T10:43:39+08:00表示北京时间2020年03月26日10点43分38秒

event_type 必填 string(32)

1、授权成功通知的类型为PAYSCORE.USER_OPEN_SERVICE
2、解除授权成功通知的类型为PAYSCORE.USER_CLOSE_SERVICE

resource_type 必填 string(32)

通知的资源数据类型，授权/解除授权成功通知为encryptresource。

summary 必填 string(64)

回调摘要

resource 必填 object

通知资源数据。 json格式，见示例

属性

algorithm 必填 string(32)

对开启结果数据进行加密的加密算法，目前只支持AEAD_AES_256_GCM。

ciphertext 必填 string(1048576)

Base64编码后的开启/停用结果数据密文。

associated_data 选填 string(16)

附加数据

nonce 必填 string(16)

加密使用的随机串。

original_type 必填 string(64)

原始回调类型，券的原始回调类型为coupon

授权结果通知

1{
2    "id":"EV-2018022511223320873",
3    "create_time":"2015-05-20T13:29:35+08:00",
4    "resource_type":"encrypt-resource",
5    "event_type":"PAYSCORE.USER_CONFIRM",
6    "resource" : {
7        "algorithm":"AEAD_AES_256_GCM",
8        "ciphertext": "...",
9        "nonce": "...",
10        "associated_data": ""
11    },
12  "summary": "授权结果"
13}

resource解密后字段

BODY 包体参数

appid 必填 string(32)

调用授权服务接口提交的应用ID。

mchid 必填 string(32)

调用授权服务接口提交的商户号。

sub_appid 选填 string(32)

子商户申请的公众号或移动应用AppID

sub_mchid 必填 string(32)

子商户商户号，由微信支付生成并下发

channel_id 选填 string(32)

调用授权服务接口提交的渠道商商户号。

service_id 必填 string(32)

调用授权服务接口提交的服务ID。

openid 选填 string(128)

微信用户在商户对应AppID下的唯一标识。（传了sub_appid的情况下则只返回sub_openid）

sub_openid 选填 string(128)

微信用户在商户对应sub_appid下的唯一标识。（传了sub_appid的情况下则只返回sub_openid）

user_service_status 选填 string(32)

回调状态
1、USER_OPEN_SERVICE：授权成功
2、USER_CLOSE_SERVICE：解除授权成功

openorclose_time 选填 string(32)

服务授权/解除授权成功时间。

authorization_code 选填 string(32)

授权协议号

对resource对象进行解密后，得到的资源对象示例

1{
2  "appid": "wxd678efh567hg6787",
3  "mch_id": "1230000109",
4  "sub_appid": "wxd678efh567hg6787",
5  "sub_mch_id": "1230000109",
6  "service_id": "500001",
7  "sub_openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",
8  "user_service_status":"USER_OPEN_SERVICE",
9  "openorclose_time":"20180225112233",
10  "authorization_code" : "4534323JKHDFE1243252"
11}

通知应答

接收成功： HTTP应答状态码需返回200或204，无需返回应答报文。

接收失败： HTTP应答状态码需返回5XX或4XX，同时需返回应答报文，格式如下：

BODY 包体参数

code 必填 string(32)

【返回状态码】错误码，SUCCESS为清算机构接收成功，其他错误码为失败。

message 选填 string(256)

【返回信息】返回信息，如非空，为错误原因。

应答示例

1{  
2    "code": "FAIL",
3    "message": "失败"
4}

文档是否有帮助

更多支持

开发文档(商户)开发文档(V2版)开发者社区微信开放平台微信公众平台腾讯客服