授权/解除授权服务回调通知API

最新更新时间:2020.07.24 版本说明

微信支付分通过授权/解除授权服务通知接口将用户过授权/解除授权服务消息通知给商户

注意:

• 同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。 推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱。


特别提醒:商户系统对于服务授权/解除授权结果通知的内容一定要做签名验证,并校验通知的信息是否与商户侧的信息一致,防止数据泄漏导致出现“假通知”,造成资金损失。

接口说明

适用对象:直连商户

请求URL:该链接:普通授权模式是通过[商户入驻配置申请表]提交service_notify_url设置,预授权模式是通过[商户预授权]提交的notify_url设置,必须为https协议。如果链接无法访问,商户将无法接收到微信通知。 通知url必须为直接可访问的url,不能携带参数。示例: “https://pay.weixin.qq.com/wxpay/pay.action”

接口规则:https://wechatpay-api.gitbook.io/wechatpay-api-v3

通知规则

用户授权/解除授权完成后,微信后台会把用户的openid和商户的out_request_no(授权服务专属)的关联信息发送给商户,以便关联请求的上下文(商户需要通过openid来给相应用户下单),商户需要接收处理该消息,并返回应答。

对后台通知交互时,如果微信收到商户的应答不符合规范或超时,微信认为通知失败,微信会通过一定的策略定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。 (通知频率为0s/15s/15s/30s/180s/1800s/1800s/1800s/1800s/3600s)

通知报文

服务授权/解除授权结果通知是以POST方法访问商户设置的通知url,通知的数据以JSON格式通过请求主体(BODY)传输。通知的数据包括了加密的授权/解除授权结果详情。
(注:由于涉及到回调加密和解密,商户必须先设置好apiv3秘钥后才能解密回调通知,apiv3秘钥设置文档指引详见APIv3秘钥设置指引


下面详细描述对通知数据进行解密的流程:

  1. 1、用商户平台上设置的APIv3密钥【微信商户平台—>账户设置—>API安全—>设置APIv3密钥】,记为apiv3 key。
  2. 2、针对resource.algorithm中描述的算法(目前为AEAD_AES_256_GCM),取得对应的参数nonce和associated_data。
  3. 3、使用apiv3 key、nonce和associated_data,对数据密文resource.ciphertext进行解密,得到JSON形式的资源对象。

注: AEAD_AES_256_GCM算法的接口细节,请参考rfc5116。微信支付使用的密钥apiv3 key长度为32个字节,随机串nonce长度12个字节,associated_data长度小于16个字节并可能为空。

通知参数

参数名 变量 类型[长度限制] 必填 描述
通知ID id string[1,36] 通知的唯一ID。
示例值:EV-2018022511223320873
通知创建时间 create_time string[1,16] 通知创建的时间,格式为yyyyMMddHHmmss(标准iso8601时间格式)
遵循rfc3339标准格式,格式为YYYY-MM-DDTHH:mm:ss+TIMEZONE,YYYY-MM-DD表示年月日,T出现在字符串中,表示time元素的开头,HH:mm:ss.表示时分秒,TIMEZONE表示时区(+08:00表示东八区时间,领先UTC 8小时,即北京时间)。例如:2015-05-20T13:29:35+08:00表示北京时间2015年05月20日13点29分35秒。
示例值:2015-05-20T13:29:35+08:00
通知类型 event_type string[1,32] 通知的类型
1、授权成功通知的类型为PAYSCORE.USER_OPEN_SERVICE
2、解除授权成功通知的类型为PAYSCORE.USER_CLOSE_SERVICE
3、用户确认成功通知的类型为PAYSCORE.USER_CONFIRM
4、支付成功通知的类型为PAYSCORE.USER_PAID
示例值:PAYSCORE.USER_OPEN_SERVICE
通知数据类型 resource_type string[1,32] 通知的资源数据类型,授权/解除授权成功通知为encryptresource。
示例值:encrypt-resource
+通知数据 resource object 通知资源数据
json格式,见示例
参数名 变量 类型[长度限制] 必填 描述
加密算法类型 algorithm string[1,32] 对授权结果数据进行加密的加密算法,目前只支持AEAD_AES_256_GCM。
示例值:AEAD_AES_256_GCM
数据密文 ciphertext string[1,1048576] Base64编码后的授权/解除授权结果数据密文。
附加数据 associated_data string[1,16] 附加数据
随机串 nonce string[1,16] 加密使用的随机串。
示例值:fdasflkja484w
回调摘要 summary string[1,64] 回调摘要
示例值:授权成功

通知签名

加密不能保证通知请求来自微信。微信会对发送给商户的通知进行签名,并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名,以确认请求来自微信,而不是其他的第三方。签名验证的算法请参考《微信支付API v3签名方案》

回调示例

授权结果通知


{
    "id":"EV-2018022511223320873",
    "create_time":"2019-07-30T16:36:59+08:00",
    "resource_type":"encrypt-resource",
    "event_type":"PAYSCORE.USER_OPEN_SERVICE",
    "resource" : {
        "algorithm":"AEAD_AES_256_GCM",
        "ciphertext": "...",
        "nonce": "...",
        "associated_data": "",
    },
	"summary": "授权成功"
}

商户对resource对象进行解密后,得到的资源对象示例


{
  "appid": "wxd678efh567hg6787",
  "mchid": "1230000109",
  "out_request_no": "1234323JKHDFE1243252",
  "service_id": "500001",
  "openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",
  "user_service_status":"USER_OPEN_SERVICE",
  "openorclose_time":"20180225112233"
}

解除授权结果通知


{
   "id":"EV-2018022511223320873",
   "create_time":"2019-07-30T16:36:59+08:00",
   "resource_type":"encrypt-resource",
   "event_type":"PAYSCORE.USER_CLOSE_SERVICE",
   "resource" : {
       "algorithm":"AEAD_AES_256_GCM",
       "ciphertext": "...",
       "nonce": "...",
       "associated_data": "",
  }
}

商户对resource对象进行解密后,得到的资源对象示例


{
 "appid": "wxd678efh567hg6787",
 "mchid": "1230000109",
 "service_id": "500001",
 "openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",
 "user_service_status":"USER_CLOSE_SERVICE",
 "openorclose_time":"20180225112233"
}

授权/解除授权成功通知参数

参数名 变量 类型[长度限制] 必填 描述
公众账号ID appid string[1,32] 调用授权服务接口提交的公众账号ID。
示例值:wxd678efh567hg6787
商户号 mchid string[1,32] 调用授权服务接口提交的商户号。
示例值:1230000109
商户签约单号 out_request_no string[1,64] 调用授权服务接口提交的商户请求唯一标识(新签约的用户,且在授权签约中上传了该字段,则在解约授权回调通知中有返回)。
示例值:1234323JKHDFE1243252
服务ID service_id string[1,32] 调用授权服务接口提交的服务ID。
示例值:1234323JKHDFE1243252
用户标识 openid string[1,128] 微信用户在商户对应appid下的唯一标识。
示例值:oUpF8uMuAJO_M2pxb1Q9zNjWeS6o
回调状态 user_service_status string[1,32] 1、USER_OPEN_SERVICE:授权成功 
2、USER_CLOSE_SERVICE:解除授权成功
示例值:USER_OPEN_SERVICE
服务授权/解除授权时间 openorclose_time string[1,32] 服务授权/解除授权成功时间。
示例值:20180225112233
授权协议号 authorization_code string[1,32] 授权协议号,预授权时返回,非预授权不返回
示例值:1275342195190894594

通知应答

商户后台在正确处理回调之后,需要返回200或者204的HTTP状态码。其他的状态码,微信支付均认为通知失败,并按照前述的策略定期发起通知。

注意:当商户后台应答失败时,微信支付将记录下应答的报文,建议商户按照以下格式返回。


参数名 变量 类型[长度限制] 必填 描述
返回状态码 code string[1,32] 错误码,SUCCESS为接收成功,其他错误码为失败。
示例值:SUCCESS
返回信息 message string[1,256] 返回信息,如非空,为错误原因。
示例值:系统错误


{
 "code": "ERROR_NAME",
  "message": "ERROR_DESCRIPTION",
}


版本说明

关闭
V1.3
2020.07.24
1. 新授权模式下授权/解除授权通知中新增authorization_code参数返回
V1.2
2020.03.05
1. out_request_no字段变更:优化前:不返回,优化后:自2020年2月18日16:00起新签约的用户,且在授权签约中上传了该字段,则在解约授权回调通知中有返回
V1.1
2019.12.16
1. 参数mch_id 调整为 mchid

技术咨询

反馈有奖