授权/解除授权服务回调通知API
微信支付分通过授权/解除授权服务通知接口将用户过授权/解除授权服务消息通知给商户
注意:
• 同样的通知可能会多次发送给商户系统。商户系统必须能够正确处理重复的通知。 推荐的做法是,当商户系统收到通知进行处理时,先检查对应业务数据的状态,并判断该通知是否已经处理。如果未处理,则再进行处理;如果已处理,则直接返回结果成功。在对业务数据进行状态检查和处理之前,要采用数据锁进行并发控制,以避免函数重入造成的数据混乱。
特别提醒:商户系统对于服务授权/解除授权结果通知的内容一定要做签名验证,并校验通知的信息是否与商户侧的信息一致,防止数据泄漏导致出现“假通知”,造成资金损失。
接口说明
适用对象:直连商户
请求URL:该链接:普通授权模式是通过[商户入驻配置申请表]提交service_notify_url设置,预授权没事是通过[商户预授权]提交的notify_url设置,必须为https协议。如果链接无法访问,商户将无法接收到微信通知。 通知url必须为直接可访问的url,不能携带参数。示例: “https://pay.weixin.qq.com/wxpay/pay.action”
通知规则
用户授权/解除授权完成后,微信后台会把用户的openid和商户的out_request_no(授权服务专属)的关联信息发送给商户,以便关联请求的上下文(商户需要通过openid来给相应用户下单),商户需要接收处理该消息,并返回应答。
对后台通知交互时,如果微信收到商户的应答不符合规范或超时,微信认为通知失败,微信会通过一定的策略定期重新发起通知,尽可能提高通知的成功率,但微信不保证通知最终能成功。 (通知频率为0s/15s/15s/30s/180s/1800s/1800s/1800s/1800s/3600s)
通知报文
服务授权/解除授权结果通知是以POST方法访问商户设置的通知url,通知的数据以JSON格式通过请求主体(BODY)传输。通知的数据包括了加密的授权/解除授权结果详情。
(注:由于涉及到回调加密和解密,商户必须先设置好apiv3秘钥后才能解密回调通知,apiv3秘钥设置文档指引详见APIv3秘钥设置指引)
下面详细描述对通知数据进行解密的流程:
- 1、用商户平台上设置的APIv3密钥【微信商户平台—>账户设置—>API安全—>设置APIv3密钥】,记为apiv3 key。
- 2、针对resource.algorithm中描述的算法(目前为AEAD_AES_256_GCM),取得对应的参数nonce和associated_data。
- 3、使用apiv3 key、nonce和associated_data,对数据密文resource.ciphertext进行解密,得到JSON形式的资源对象。
注: AEAD_AES_256_GCM算法的接口细节,请参考rfc5116。微信支付使用的密钥apiv3 key长度为32个字节,随机串nonce长度12个字节,associated_data长度小于16个字节并可能为空。
通知参数
| 参数名 | 变量 | 类型[长度限制] | 必填 | 描述 |
|---|---|---|---|---|
| 通知ID | id | string[1,36] | 是 | 通知的唯一ID。 示例值:EV-2018022511223320873 |
| 通知创建时间 | create_time | string[1,16] | 是 | 通知创建的时间,格式为yyyyMMddHHmmss(标准iso8601时间格式) 遵循rfc3339标准格式,格式为YYYY-MM-DDTHH:mm:ss+TIMEZONE,YYYY-MM-DD表示年月日,T出现在字符串中,表示time元素的开头,HH:mm:ss.表示时分秒,TIMEZONE表示时区(+08:00表示东八区时间,领先UTC 8小时,即北京时间)。例如:2015-05-20T13:29:35+08:00表示北京时间2015年05月20日13点29分35秒。 示例值:2015-05-20T13:29:35+08:00 |
| 通知类型 | event_type | string[1,32] | 是 | 通知的类型 1、授权成功通知的类型为PAYSCORE.USER_OPEN_SERVICE 2、解除授权成功通知的类型为PAYSCORE.USER_CLOSE_SERVICE 3、用户确认成功通知的类型为PAYSCORE.USER_CONFIRM 4、支付成功通知的类型为PAYSCORE.USER_PAID 示例值:PAYSCORE.USER_OPEN_SERVICE |
| 通知数据类型 | resource_type | string[1,32] | 是 | 通知的资源数据类型,授权/解除授权成功通知为encryptresource。 示例值:encrypt-resource |
| +通知数据 | resource | object | 是 | 通知资源数据 json格式,见示例 |
| 回调摘要 | summary | string[1,64] | 是 | 回调摘要 示例值:授权成功 |
通知签名
加密不能保证通知请求来自微信。微信会对发送给商户的通知进行签名,并将签名值放在通知的HTTP头Wechatpay-Signature。商户应当验证签名,以确认请求来自微信,而不是其他的第三方。签名验证的算法请参考《微信支付API v3签名方案》。
回调示例
授权结果通知
{
"id":"EV-2018022511223320873",
"create_time":"2019-07-30T16:36:59+08:00",
"resource_type":"encrypt-resource",
"event_type":"PAYSCORE.USER_OPEN_SERVICE",
"resource" : {
"algorithm":"AEAD_AES_256_GCM",
"ciphertext": "...",
"nonce": "...",
"associated_data": "",
},
"summary": "授权成功"
}
商户对resource对象进行解密后,得到的资源对象示例
{
"appid": "wxd678efh567hg6787",
"mchid": "1230000109",
"out_request_no": "1234323JKHDFE1243252",
"service_id": "500001",
"openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",
"user_service_status":"USER_OPEN_SERVICE",
"openorclose_time":"20180225112233"
}
解除授权结果通知
{
"id":"EV-2018022511223320873",
"create_time":"2019-07-30T16:36:59+08:00",
"resource_type":"encrypt-resource",
"event_type":"PAYSCORE.USER_CLOSE_SERVICE",
"resource" : {
"algorithm":"AEAD_AES_256_GCM",
"ciphertext": "...",
"nonce": "...",
"associated_data": "",
}
}
商户对resource对象进行解密后,得到的资源对象示例
{
"appid": "wxd678efh567hg6787",
"mchid": "1230000109",
"service_id": "500001",
"openid": "oUpF8uMuAJO_M2pxb1Q9zNjWeS6o",
"user_service_status":"USER_CLOSE_SERVICE",
"openorclose_time":"20180225112233"
}
授权/解除授权成功通知参数
| 参数名 | 变量 | 类型[长度限制] | 必填 | 描述 |
|---|---|---|---|---|
| 公众账号ID | appid | string[1,32] | 是 | 调用授权服务接口提交的公众账号ID。 示例值:wxd678efh567hg6787 |
| 商户号 | mchid | string[1,32] | 是 | 调用授权服务接口提交的商户号。 示例值:1230000109 |
| 商户签约单号 | out_request_no | string[1,64] | 否 | 调用授权服务接口提交的商户请求唯一标识(新签约的用户,且在授权签约中上传了该字段,则在解约授权回调通知中有返回)。 示例值:1234323JKHDFE1243252 |
| 服务ID | service_id | string[1,32] | 是 | 调用授权服务接口提交的服务ID。 示例值:1234323JKHDFE1243252 |
| 用户标识 | openid | string[1,128] | 是 | 微信用户在商户对应appid下的唯一标识。 示例值:oUpF8uMuAJO_M2pxb1Q9zNjWeS6o |
| 回调状态 | user_service_status | string[1,32] | 否 | 1、USER_OPEN_SERVICE:授权成功 2、USER_CLOSE_SERVICE:解除授权成功 示例值:USER_OPEN_SERVICE |
| 服务授权/解除授权时间 | openorclose_time | string[1,32] | 否 | 服务授权/解除授权成功时间。 示例值:20180225112233 |
| 授权协议号 | authorization_code | string[1,32] | 否 | 授权协议号,预授权时返回,非预授权不返回 示例值:1275342195190894594 |
通知应答
商户后台在正确处理回调之后,需要返回200或者204的HTTP状态码。其他的状态码,微信支付均认为通知失败,并按照前述的策略定期发起通知。
注意:当商户后台应答失败时,微信支付将记录下应答的报文,建议商户按照以下格式返回。
| 参数名 | 变量 | 类型[长度限制] | 必填 | 描述 |
|---|---|---|---|---|
| 返回状态码 | code | string[1,32] | 是 | 错误码,SUCCESS为接收成功,其他错误码为失败。 示例值:SUCCESS |
| 返回信息 | message | string[1,256] | 否 | 返回信息,如非空,为错误原因。 示例值:系统错误 |
{
"code": "ERROR_NAME",
"message": "ERROR_DESCRIPTION",
}