注意:
H5支付权限申请事件回调通知API
注意:
● 同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。
推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱。
特别提醒:商户系统对于开启结果通知的内容一定要做签名验证,并校验通知的信息是否与商户侧的信息一致,防止数据泄露导致出现“假通知”,造成意外损失。
1. 接口说明
适用对象: 机构模式
请求URL:该链接是通过创建H5支付权限申请单提交notify_url参数设置,必须为https协议。必须为https协议。如果链接无法访问,商户将无法接收到微信通知。通知url必须为直接可访问的url,不能携带参数。示例:success_notify_url:“http://pay.weixin.qq.com/wxpay/pay.action”
请求方式:POST
2. 通知规则
H5支付申请完成后,微信会把相关审核结果和申请单信息发送给商户,商户需要接收处理,并按照文档规范返回应答。出于安全的考虑,我们对回调内容数据进行了加密,商户需要先对通知数据进行解密,才能得到回调结果数据。
对后台通知交互时,如果微信收到应答不是成功或超时,微信认为通知失败,微信会通过一定的策略定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。保持阶梯式回调,即通知频率为15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h
- 总计 24h4m
3. 通知报文
审核结果通知是以POST 方法访问商户设置的通知url,通知的数据以JSON 格式通过请求主体(BODY)传输。通知的数据包括了加密的支付结果详情。
下面详细描述证书解密的流程
1、从商户平台上获取商户的密钥,记为“key”。
2、针对resource.algorithm中描述的算法(目前为AEAD_AES_256_GCM),取得对应的参数nonce和associated_data。
3、使用key、nonce和associated_data,对数据密文resource.ciphertext进行解密,得到JSON形式的资源对象
注意:AEAD_AES_256_GCM算法的接口细节,请参考rfc5116。微信支付使用的密钥key长度为32个字节,随机串nonce长度12个字节,associated_data长度小于16个字节并可能为空。
4. 请求参数
参数名 |
变量 |
类型[长度限制] |
必填 |
描述 |
通知ID |
id |
string[1,36] |
是 |
通知的唯一ID
示例值:f7c34059-0f2d-5b32-ba33-a42dks0597c5
|
通知创建时间 |
create_time |
string[1,64] |
是 |
通知创建的时间,格式为rfc3339格式,如2018-06-08T10:34:56+08:00 代表北京时间2018年06月08日10时34分56秒
示例值:2018-06-08T10:34:56+08:00
|
通知类型 |
event_type |
string[1,32] |
是 |
通知的类型
审核通过通知的类型为 APPLYMENT_STATE.APPROVED
示例值:APPLYMENT_STATE.APPROVED
|
通知数据类型 |
resource_type |
string[1,32] |
是 |
通知的资源数据类型,审核成功通知为applyment
示例值:applyment
|
回调摘要 |
summary |
string[1,64] |
是 |
回调摘要
示例值:H5支付权限申请通知
|
通知数据 |
resource |
object |
是 |
通知资源数据 |
参数名 |
变量 |
类型[长度限制] |
必填 |
描述 |
加密算法类型 |
algorithm |
string[1,32] |
是 |
对支付结果数据进行加密的加密算法,目前只支持AEAD_AES_256_GCM
示例值:AEAD_AES_256_GCM
|
数据密文 |
ciphertext |
string[1,1048576] |
是 |
Base64编码后的支付结果数据密文 |
原始回调类型 |
original_type |
string[1,64] |
是 |
原始回调类型
示例值:applyment
|
附加数据 |
associated_data |
string[1,16] |
否 |
加密使用的附加数据 |
随机串 |
nonce |
string[1,32] |
是 |
加密使用的随机串 |
|
5. 通知签名
加密不能保证通知请求来自微信。微信会对发送给商户的通知进行签名,并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名,以确认请求来自微信,而不是其他的第三方。签名验证的算法请参考《微信支付API
V3签名验证》。
{
"id":"f7c34059-0f2d-5b32-ba33-a42dks0597c5",
"create_time":"2019-12-12T16:54:38+08:00",
"resource_type":"applyment",
"event_type":"APPLYMENT_STATE.APPROVED",
"summary":"H5支付权限申请通知",
"resource":{
"original_type":"applyment",
"algorithm":"AEAD_AES_256_GCM",
"ciphertext":"xxx",
"associated_data":"applyment",
"nonce":"j9g1wAzF9Xn1"
}
}
商户对resource对象进行解密后,得到的资源对象示例
{
"applyment_id": 100000,
"applyment_state": "PENDING",
"applyment_type": "APPLY_FOR_PAYMENT_AUTHORITY",
"business_description": "腾讯于1998年11月成立,是一家互联网公司,通过技术丰富互联网用户的生活,助力企业数字化升级。我们的使命是“用户为本 科技向善”",
"company_register_cert": "6uqyGjvHzOhsLleGFQVRF",
"domains": ["qq.com"],
"notify_url": "https://pay.weixin.qq.com/wxpay/pay.action",
"audit_reject_detail": "商户证书不符合要求",
"sub_mchid": "2491935631",
"transaction_limit_type": "UN_LAUNCHED_WEBSITE_LIMIT",
"website_business_page_pics": ["6uqyGjvHzOhsLleGFQVRF"],
"website_homepage_pics": ["6uqyGjvHzOhsLleGFQVRF"],
"website_state": "HAS_LAUNCHED",
"website_url": "https://qq.com"
}
{
"sp_mchid": "10000100",
}
6. 审核结果通知参数
参数名 |
变量 |
类型[长度限制] |
必填 |
描述 |
子商户号 |
sub_mchid |
string[1, 32] |
是 |
当前机构/服务商下的子商户号
注意:仅适用于机构模式
示例值:2491935631
|
H5支付域名 |
domains |
array |
是 |
Body 拉起H5支付的域名,不超过5个。
注意:提交的修改的域名列表审核通过后将会覆盖已有支付域名列表。
示例值:["qq.com"]
|
公司介绍和业务描述 |
business_description |
string[1, 500] |
否 |
若选择了无限额交易类型,则此字段必须上传
示例值:腾讯于1998年11月成立,是一家互联网公司,通过技术丰富互联网用户的生活,助力企业数字化升级。我们的使命是“用户为本 科技向善”
|
公司注册资质证书 |
company_register_cert |
string[1, 128] |
否 |
当选择不限额度的支付类型,此字段必传
示例值:6uqyGjvHzOhsLleGFQVRF
|
限额类型 |
transaction_limit_type |
string |
是 |
H5支付限额类型
Limited Quota: ①1000 CNY/day/person if touched the transaction limit of the H5 payment, this
customer couldn't pay to this sub-merchant through H5 channel on this day (re-accumulate in the
next day)
② 50000 CNY/day/sub-merchant
UN_LAUNCHED_WEBSITE_LIMIT:未上线经营网址支付额度
Limited Quota:① 50000 CNY/day/person,如触及H5支付限额支付限额,则该客户当天无法通过H5渠道向该子商户支付(次日重新累积)
② 500000 CNY/day/sub-merchant,如触及H5支付限额额度, 该子商户当天无法通过H5渠道收款(次日重新累计)
NORMAL_LIMIT:未补充完整资料时获得普通支付额度
NO_LIMIT:无支付额度限制
示例值:UN_LAUNCHED_WEBSITE_LIMIT
|
经营网址商业页面截图 |
website_business_page_pics |
array |
否 |
若经营网址未上线,则此字段必传。Media ID,通过上传图片API获得
示例值:["6uqyGjvHzOhsLleGFQVRF"]
|
经营网址首页截图 |
website_homepage_pics |
array |
否 |
若经营网址未上线,则此字段必传。Media ID,通过上传图片API获得
示例值:["6uqyGjvHzOhsLleGFQVRF"]
|
子商户经营网址状态 |
website_state |
string |
是 |
子商户经营网址状态,包括已上线和未上线
HAS_LAUNCHED:经营网址已上线
UN_LAUNCHED:经营网址未上线
示例值:HAS_LAUNCHED
|
子商户H5经营网址 |
website_url |
string[1, 128] |
是 |
包含该子商户的主营业务、销售商品/服务及价格、用户可在线下单购买的网址。
示例值:https://qq.com
|
申请单号 |
applyment_id |
int |
是 |
申请单的唯一标识
示例值:100000
|
驳回原因 |
audit_reject_detail |
string[1, 500] |
否 |
申请单被驳回的原因,当申请单被驳回时此字段会显示具体的驳回原因
示例值:商户证书不符合要求
|
申请单状态 |
applyment_state |
string |
是 |
H5支付申请单状态
PENDING:待创建,申请单暂未创建,可稍后查询或检查进件状态是否正常
UNDER_REVIEW:审核中,申请单已创建,并且已进入审核阶段
APPROVED:已通过,申请单已审核通过
REJECTED:已驳回,申请单已驳回,请留意驳回原因字段 audit_reject_detail
示例值:PENDING
|
申请单类型 |
applyment_type |
string |
是 |
H5支付权限申请单类型,包括H5支付权限申请和解除H5支付限额申请
APPLY_FOR_PAYMENT_AUTHORITY:申请H5支付权限
APPLY_FOR_RELIEVE_LIMITED:申请解除H5支付限额
示例值:APPLY_FOR_PAYMENT_AUTHORITY
|
商户提供的审核结果回调接口 |
notify_url |
string[1, 128] |
否 |
必须为https协议。如果链接无法访问,商户将无法接收到微信通知。
通知url必须为直接可访问的url,不能携带参数。
《权限申请回调文档》
示例值:https://pay.weixin.qq.com/wxpay/pay.action
|
7. 通知应答
参数名 |
变量 |
类型 |
必填 |
描述 |
返回状态码 |
code |
string[1,32] |
是 |
详见下面返回状态码说明
示例值:SUCCESS
|
返回信息 |
message |
string[1,256] |
否 |
返回信息,为错误原因
示例值:系统错误
|
200
{
"code": "SUCCESS",
"message": "OK"
}
{
"code": "SYSTEM_ERROR",
"message": "系统失败"
}