商圈会员积分服务授权结果通知
更新时间:2023.08.16商圈会员在商圈小程序内打开“商圈会员快速积分”插件并完成会员积分服务授权后,微信会把会员的授权结果通知给商圈商户。
注意
- 同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。
推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱
接入顺序:
- “商圈会员快速积分”小程序插件开发文档 (opens new window)。
- 商圈会员积分服务授权结果通知(用户在商圈小程序完成会员积分服务授权后,会将用户的授权情况发送至开通时配置的会员积分服务开通回调地址)。
- 商圈会员场内支付结果通知(已授权商圈会员积分服务的用户,在场内发生微信支付交易时,会将消费信息发送至开通时配置的用户消费回调地址)。
- 商圈会员积分同步(只有接入该接口,才会获取到退款信息)。
- 商圈会员场内退款通知(对已同步过积分的会员消费,监控30天内的退款情况,若发生退款,会将退款信息发送至开通时配置的用户消费回调地址)。
- 商圈会员积分服务授权状态查询 (可通过此API查询已授权过商圈会员积分服务用户的最新授权状态)。
- 商圈会员待积分状态查询(可通过此API查询已授权商圈会员积分服务的用户当天是否有待积分的消费,并可在商圈小程序任意页面引导用户前往“商圈会员快速积分”插件提交积分申请)。
- 商圈会员停车状态同步(可通过此API同步会员停车到场状态给微信支付,对用会员的商场内门店消费可100%自动积分)。
特别提醒: 商户系统对于确认订单通知的内容一定要做签名验证,并校验通知的信息是否与商户侧的信息一致,防止数据泄露导致出现“假通知”,造成资金损失。
# 接口说明
支持商户: 【普通服务商】
请求方式: 【POST】
回调URL: 由商圈侧提供接口链接地址,必须为HTTPS协议。如果链接无法访问,商户将无法接收到微信通知。 通知URL必须为直接可访问的URL,不能携带参数。示例:"https://pay.wechatpay.cn/wxpay/pay.action"
# 通知规则
会员用户在商圈小程序内完成授权后,微信会把用户授权信息及状态通知给商圈商户,商户需要接收处理,并返回应答。出于安全的考虑,我们对数据进行了加密,商户需要先对通知数据进行解密,才能得到支付结果数据。
对后台通知交互时,如果微信收到商户的应答不是成功或超时,微信认为通知失败,微信会通过一定的策略重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。(通知频率为1s/10s/10s/10s/10s/10s/1m/1m/1m/1m,总计4m51s)
# 通知报文
商圈会员积分服务授权结果通知是以POST方法访问商户设置的通知URL,通知的数据以JSON格式通过请求主体(BODY)传输。通知的数据包括了加密的用户OpenID、授权类型、授权状态等详情。
注意
由于涉及到回调加密和解密,商户必须先设置好APIv3密钥后才能解密回调通知,APIv3密钥设置文档指引详见APIv3密钥设置指引 (opens new window)
# 步骤说明
# 步骤一:验证签名
微信支付会对发送给商户的通知进行签名,并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名,以确认请求来自微信,而不是其他的第三方。签名验证的算法请参考 《微信支付API v3签名验证》。
# 步骤二:参数解密
为了保证安全性,微信支付在回调通知,对关键信息进行了AES-256-GCM加密。商户应当按照以下的流程进行解密关键信息,解密的流程:
- 用商户平台上设置的APIv3密钥【微信服务商平台 (opens new window)—>账户设置—>API安全—>设置APIv3密钥】,记为key;
- 获取resource.algorithm中描述的算法(目前为AEAD_AES_256_GCM),以及resource.nonce和resource.associated_data;
- 使用key、nonce和associated_data,对数据密文resource.ciphertext进行解密,得到JSON形式的资源对象。
注意
- AEAD_AES_256_GCM算法的接口细节,请参考rfc5116 (opens new window)。微信支付使用的密钥key长度为32个字节,随机串nonce长度12个字节,associated_data长度小于16个字节并可能为空。
- Java回调解密Json取值不带引号。
# 字段说明
# 通知参数
- id 必填通知的唯一ID。
- create_time 必填遵循rfc3339
标准格式,格式为yyyy-MM-DDTHH:mm:ss+TIMEZONE,yyyy-MM-DD表示年月日,T出现在字符串中,表示time元素的开头,HH:mm:ss.表示时分秒,TIMEZONE表示时区(+08:00表示东八区时间,领先UTC 8小时,即北京时间)。例如:2015-05-20T13:29:35+08:00表示北京时间2015年05月20日13点29分35秒。 - event_type 必填通知的类型, 会员积分服务授权通知的类型为:MALL_AUTH.ACTIVATE_CARD
- resource_type 必填通知的资源数据类型。
- resource 必填通知资源数据 json格式,见示例
- 属性
- summary 必填回调摘要
授权结果通知
1{2 "id":"EV-2018022511223320873",3 "create_time":"2015-05-20T13:29:35+08:00",4 "resource_type":"encrypt-resource",5 "event_type":"MALL_AUTH.ACTIVATE_CARD",6 "resource" : {7 "algorithm":"AEAD_AES_256_GCM",8 "ciphertext": "...",9 "original_type": "discount_card",10 "nonce": "...",11 "associated_data": ""12 },13 "summary": "会员卡激活通知"14}
# resource解密后字段
- openid 必填顾客授权时使用的小程序上的OpenID
- code 必填用户在商圈会员卡card_id下的唯一标志,用户领取会员卡后获得的code
- mchid 必填用户开会员卡时的商圈商户号
- auth_type 必填用户授权类型 REGISTERED_MODE :会员开卡(进卡包) + 未授权会员积分服务 REGISTERED_AND_AUTHORIZATION_MODE:会员开卡(进卡包)+授权会员积分服务
对resource对象进行解密后,得到的资源对象示例
1{2 "openid": "oWmnN4xxxxxxxxxxe92NHIGf1xd8",3 "code": "478515832665",4 "mchid": "1230000109",5 "auth_type": "REGISTERED_MODE "6}
# 通知应答
接收成功: HTTP应答状态码需返回200或204,无需返回应答报文。
接收失败: HTTP应答状态码需返回5XX或4XX,同时需返回应答报文,格式如下:
- code 必填【返回状态码】
错误码,SUCCESS为清算机构接收成功,其他错误码为失败。 - message 选填【返回信息】
返回信息,如非空,为错误原因。
应答示例
1{ 2 "code": "FAIL",3 "message": "失败"4}