微信支付API
产品介绍
开发指引
API列表
JSAPI/小程序下单
POST
JSAPI调起支付
微信支付订单号查询订单
GET
商户订单号查询订单
GET
关闭订单
POST
支付成功回调通知
退款申请
POST
查询单笔退款(通过商户退款单号)
GET
发起异常退款
POST
常见问题
附录
管理商户号绑定的APPID账号
配置JSAPI支付授权目录
Powered by Hapydev
支付成功回调通知
创建时间: 2025-05-31 23:23

支付成功回调通知

更新时间:2024.12.27

一、回调描述

用户使用普通支付(APP支付/H5支付/JSAPI支付/Native支付/小程序支付)功能,当用户成功支付订单后,微信支付会通过POST的请求方式,向商户预先设置的回调地址(APP支付/H5支付/JSAPI支付/Native支付/小程序支付下单接口传入的notify_url)发送回调通知,让商户知晓用户已完成支付。

注意: 商户侧对微信支付回调IP有防火墙策略限制的,需要对微信回调IP段开通白名单,否则会导致收不到回调(微信支付回调被商户防火墙拦截),详情参考回调处理逻辑注意事项

二、回调处理步骤

1、商户接收回调通知报文

微信支付会通过POST的方式向回调地址发送回调报文,回调报文的HTTP请求头中会包含报文的签名信息,用于后续验签,具体如下:

参数描述
Wechatpay-Serial验签的微信支付平台证书序列号/微信支付公钥ID
Wechatpay-Signature验签的签名值
Wechatpay-Timestamp验签的时间戳
Wechatpay-Nonce验签的随机字符串

回调通知的请求主体中会包含JSON格式的通知参数,具体的通知参数列表如下:

支付成功结果通知

{
    "id": "EV-2018022511223320873",
    "create_time": "2015-05-20T13:29:35+08:00",
    "resource_type": "encrypt-resource",
    "event_type": "TRANSACTION.SUCCESS",
    "summary": "支付成功",
    "resource": {
        "original_type": "transaction",
        "algorithm": "AEAD_AES_256_GCM",
        "ciphertext": "",
        "associated_data": "",
        "nonce": ""
    }
}

2、回调验签与应答

商户接收到回调通知报文后,需在5秒内完成对报文的验签,并应答回调通知。

2.1、对回调通知进行验签

验签需使用请求头中的【Wechatpay-Timestamp】、【Wechatpay-Nonce】以及请求主体中JSON格式的通知参数构建出验签串,然后使用【Wechatpay-Serial】对应的微信支付平台证书/微信支付公钥对验签串和【Wechatpay-Signature】进行验签,确保接收的回调内容是来自微信支付。

详细验签步骤请参考:如何验证签名

微信支付会在极少数通知回调中返回以“WECHATPAY/SIGNTEST/”开头的错误【Wechatpay-Signature】,以检测商户系统是否正确验证签名。商户请参考:如何应对签名探测流量进行处理。

2.2、对回调通知进行应答

商户验签后,根据验签结果对回调进行应答:

验签通过:商户需告知微信支付接收回调成功,HTTP应答状态码需返回200或204,无需返回应答报文。

验签不通过:商户需告知微信支付接收回调失败,HTTP应答状态码需返回5XX或4XX,同时需返回以下应答报文:

应答成功示例(200或204)

"无应答包体"

应答失败示例(5XX或4XX)

{  
    "code": "FAIL",
    "message": "失败"
}

2.3、微信支付回调处理机制说明

微信支付接收到商户的应答后,会根据应答结果做对应的逻辑处理:

  • 若商户应答回调接收成功,微信支付将不再重复发送该回调通知。若因网络或其他原因,商户收到了重复的回调通知,请按正常业务流程进行处理并应答。
  • 若商户应答回调接收失败,或超时(5s)未应答时,微信支付会按照(15s/15s/30s/3m/10m/20m/30m/30m/30m/60m/3h/3h/3h/6h/6h)的频次重复发送回调通知,直至微信支付接收到商户应答成功,或达到最大发送次数(15次)

3、对回调通知内容进行解密

为了保证业务信息的安全性,微信支付将业务信息进行了AES-256-GCM加密,并通过参数resource将加密信息回调给商户,商户需要进行解密后才能获取到业务信息。

解密步骤如下:

  1. 获取商户平台上设置的APIv3密钥,记为key;
  2. 通过回调通知参数resource.algorithm确认加密算法(目前仅支持AEAD_AES_256_GCM,算法的接口细节,请参考:rfc5116)。
  3. 使用key与回调通知参数resource.nonce和resource.associated_data,对数据密文resource.ciphertext进行解密,最终可得到JSON格式的业务信息。

解密示例代码可参考文档:如何解密证书和回调报文

注意

  • 使用Java进行回调解密,取JSON串内的参数值时,只需取引号内的内容进行解密。例:"nonce":"123",只需取值123,不用取加上引号的"123"。
最后更新: 2 个月前
上一页
POST关闭订单
下一页
POST退款申请