● 同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。 推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱。
特别提醒:商户系统对于开启结果通知的内容一定要做签名验证,并校验通知的信息是否与商户侧的信息一致,防止数据泄露导致出现“假通知”,造成意外损失。
1. 接口说明 请求URL: 该链接是通过 创建H5支付权限申请单
2. 通知规则 H5支付申请完成后,微信会把相关审核结果和申请单信息发送给商户,商户需要接收处理,并按照文档规范返回应答。出于安全的考虑,我们对回调内容数据进行了加密,商户需要先对通知数据进行解密,才能得到回调结果数据。
对后台通知交互时,如果微信收到应答不是成功或超时,微信认为通知失败,微信会通过一定的策略定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。保持阶梯式回调,即通知频率为15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h - 总计 24h4m
3. 通知报文 审核结果通知是以POST 方法访问商户设置的通知url,通知的数据以JSON 格式通过请求主体(BODY)传输。通知的数据包括了加密的支付结果详情。
1、从商户平台上获取商户的密钥,记为“key”。 2、针对resource.algorithm中描述的算法(目前为AEAD_AES_256_GCM),取得对应的参数nonce和associated_data。 3、使用key、nonce和associated_data,对数据密文resource.ciphertext进行解密,得到JSON形式的资源对象
注意: AEAD_AES_256_GCM算法的接口细节,请参考 rfc5116
4. 请求参数 通知ID
id
string[1,36]
是
通知的唯一ID 示例值:f7c34059-0f2d-5b32-ba33-a42dks0597c5
通知创建时间
create_time
string[1,64]
是
通知创建的时间,格式为rfc3339格式,如2018-06-08T10:34:56+08:00 代表北京时间2018年06月08日10时34分56秒 示例值:2018-06-08T10:34:56+08:00
通知类型
event_type
string[1,32]
是
通知的类型 审核通过通知的类型为 APPLYMENT_STATE.APPROVED 示例值:APPLYMENT_STATE.APPROVED
通知数据类型
resource_type
string[1,32]
是
通知的资源数据类型,审核成功通知为applyment 示例值:applyment
回调摘要
summary
string[1,64]
是
回调摘要 示例值:H5支付权限申请通知
通知数据
resource
object
是
通知资源数据
通知数据 加密算法类型
algorithm
string[1,32]
是
对支付结果数据进行加密的加密算法,目前只支持AEAD_AES_256_GCM 示
例值:AEAD_AES_256_GCM
数据密文
ciphertext
string[1,1048576]
是
Base64编码后的支付结果数据密文
原始回调类型
original_type
string[1,64]
是
原始回调类型
示例值:applyment
附加数据
associated_data
string[1,16]
否
加密使用的附加数据
随机串
nonce
string[1,32]
是
加密使用的随机串
5. 通知签名 加密不能保证通知请求来自微信。微信会对发送给商户的通知进行签名,并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名,以确认请求来自微信,而不是其他的第三方。签名验证的算法请参考 《微信支付API V3签名验证》
审核结果通知
1 {
2 "id" : "f7c34059-0f2d-5b32-ba33-a42dks0597c5" ,
3 "create_time" : "2019-12-12T16:54:38+08:00" ,
4 "resource_type" : "applyment" ,
5 "event_type" : "APPLYMENT_STATE.APPROVED" ,
6 "summary" : "H5支付权限申请通知" ,
7 "resource" : {
8 "original_type" : "applyment" ,
9 "algorithm" : "AEAD_AES_256_GCM" ,
10 "ciphertext" : "xxx" ,
11 "associated_data" : "applyment" ,
12 "nonce" : "j9g1wAzF9Xn1"
13 }
14 }
商户对resource对象进行解密后,得到的资源对象示例 JSON
1 {
2 "applyment_id" : 100000 ,
3 "applyment_state" : "PENDING" ,
4 "applyment_type" : "APPLY_FOR_PAYMENT_AUTHORITY" ,
5 "business_description" : "腾讯于1998年11月成立,是一家互联网公司,通过技术丰富互联网用户的生活,助力企业数字化升级。我们的使命是“用户为本 科技向善”" ,
6 "company_register_cert" : "6uqyGjvHzOhsLleGFQVRF" ,
7 "domains" : [ "qq.com" ] ,
8 "notify_url" : "https://pay.weixin.qq.com/wxpay/pay.action" ,
9 "audit_reject_detail" : "商户证书不符合要求" ,
10 "sub_mchid" : "2491935631" ,
11 "transaction_limit_type" : "UN_LAUNCHED_WEBSITE_LIMIT" ,
12 "website_business_page_pics" : [ "6uqyGjvHzOhsLleGFQVRF" ] ,
13 "website_homepage_pics" : [ "6uqyGjvHzOhsLleGFQVRF" ] ,
14 "website_state" : "HAS_LAUNCHED" ,
15 "website_url" : "https://qq.com"
16 }
6. 审核结果通知参数 子商户号
sub_mchid
string[1, 32]
是
当前机构/服务商下的子商户号 注意:仅适用于 机构模式 示例值:2491935631
H5支付域名
domains
array
是
Body 拉起H5支付的域名,不超过5个。 注意:提交的修改的域名列表审核通过后将会覆盖已有支付域名列表。 示例值:["qq.com"]
公司介绍和业务描述
business_description
string[1, 500]
否
若选择了无限额交易类型,则此字段必须上传 示例值:腾讯于1998年11月成立,是一家互联网公司,通过技术丰富互联网用户的生活,助力企业数字化升级。我们的使命是“用户为本 科技向善”
公司注册资质证书
company_register_cert
string[1, 128]
否
当选择不限额度的支付类型,此字段必传 示例值:6uqyGjvHzOhsLleGFQVRF
限额类型
transaction_limit_type
string
是
H5支付限额类型 Limited Quota: ①1000 CNY/day/person if touched the transaction limit of the H5 payment, this customer couldn't pay to this sub-merchant through H5 channel on this day (re-accumulate in the next day) ② 50000 CNY/day/sub-merchant UN_LAUNCHED_WEBSITE_LIMIT:未上线经营网址支付额度 Limited Quota:① 50000 CNY/day/person,如触及H5支付限额支付限额,则该客户当天无法通过H5渠道向该子商户支付(次日重新累积) ② 500000 CNY/day/sub-merchant,如触及H5支付限额额度, 该子商户当天无法通过H5渠道收款(次日重新累计) NORMAL_LIMIT:未补充完整资料时获得普通支付额度 NO_LIMIT:无支付额度限制 示例值:UN_LAUNCHED_WEBSITE_LIMIT
经营网址商业页面截图
website_business_page_pics
array
否
若经营网址未上线,则此字段必传。Media ID,通过 上传图片API 获得 示例值:["6uqyGjvHzOhsLleGFQVRF"]
经营网址首页截图
website_homepage_pics
array
否
若经营网址未上线,则此字段必传。Media ID,通过 上传图片API 获得 示例值:["6uqyGjvHzOhsLleGFQVRF"]
子商户经营网址状态
website_state
string
是
子商户经营网址状态,包括已上线和未上线 HAS_LAUNCHED:经营网址已上线 UN_LAUNCHED:经营网址未上线 示例值:HAS_LAUNCHED
子商户H5经营网址
website_url
string[1, 128]
是
包含该子商户的主营业务、销售商品/服务及价格、用户可在线下单购买的网址。 示例值:https://qq.com
申请单号
applyment_id
int
是
申请单的唯一标识 示例值:100000
驳回原因
audit_reject_detail
string[1, 500]
否
申请单被驳回的原因,当申请单被驳回时此字段会显示具体的驳回原因 示例值:商户证书不符合要求
申请单状态
applyment_state
string
是
H5支付申请单状态 PENDING:待创建,申请单暂未创建,可稍后查询或检查进件状态是否正常 UNDER_REVIEW:审核中,申请单已创建,并且已进入审核阶段 APPROVED:已通过,申请单已审核通过 REJECTED:已驳回,申请单已驳回,请留意驳回原因字段 audit_reject_detail 示例值:PENDING
申请单类型
applyment_type
string
是
H5支付权限申请单类型,包括H5支付权限申请和解除H5支付限额申请 APPLY_FOR_PAYMENT_AUTHORITY:申请H5支付权限 APPLY_FOR_RELIEVE_LIMITED:申请解除H5支付限额 示例值:APPLY_FOR_PAYMENT_AUTHORITY
商户提供的审核结果回调接口
notify_url
string[1, 128]
否
必须为https协议。如果链接无法访问,商户将无法接收到微信通知。 通知url必须为直接可访问的url,不能携带参数。 《权限申请回调文档》 示例值:https://pay.weixin.qq.com/wxpay/pay.action
7. 通知应答 返回状态码
code
string[1,32]
是
详见下面返回状态码说明 示例值:SUCCESS
返回信息
message
string[1,256]
否
返回信息,为错误原因 示例值:系统错误
场景一:成功示例
1 200
2 {
3 "code" : "SUCCESS" ,
4 "message" : "OK"
5 } 场景二:失败示例
1 {
2 "code" : "SYSTEM_ERROR" ,
3 "message" : "系统失败"
4 }
