异步通知说明
简介
异步通知是指一笔订单支付完成后,支付宝会将该笔订单的变更信息,沿着商家调用支付请求时所传入的异步通知地址 notify_url,通过 POST 请求的形式将支付结果作为参数通知到商家系统。
异步回调地址状态码(http 状态码)为 200 时表示异步通知成功,返回码为 404 或 500 时则表示服务器内部错误,需要商家自行排查。
商家如果因为其它原因没有收到支付宝服务端返回的异步通知,可根据 异步通知问题 进行排查。
授权单状态流转图
接口与默认通知说明
| **接口/**默认通知 | 通知地址 | 触发通知类型 | 通知类型说明 | 通知是否默认开启 |
|---|---|---|---|---|
| alipay.fund.auth.order.app.freeze | notify_url | fund_auth_freeze.init | 资金预授权订单创建 | 否 |
| alipay.fund.auth.order.freeze | notify_url | fund_auth_freeze | 资金预授权冻结成功 | 是 |
| alipay.fund.auth.order.voucher.create | notify_url | fund_auth_freeze.closed | 资金预授权订单关闭 | 否 |
| alipay.fund.auth.order.unfreeze | notify_url | fund_auth_unfreeze | 资金授权订单解冻 | 是 |
| alipay.fund.auth.operation.cancel | notify_url | fund_auth_operation_cancel | 资金预授权明细撤销 | 是 |
| 到达超时解冻时间触发自动解冻 | 网关配置地址 | fund_auth_unfreeze | 资金授权订单解冻 | 是 |
异步通知参数
| 参数 | 类型 | 是否必填 | 最大长度 | 描述 | 示例值 |
|---|---|---|---|---|---|
| auth_no | String | 必须 | 64 | 支付宝资金授权订单号 | 2014070800002001550000014417 |
| notify_type | String | 必须 | 64 | 通知类型取值见上文<接口与默认通知说明> | fund_auth_freeze |
| out_order_no | String | 必须 | 64 | 商家的资金授权订单号 | 4977164666634053 |
| operation_id | String | 必须 | 64 | 支付宝的资金操作流水号 | 2014070800032850551 |
| out_request_no | String | 必须 | 64 | 商家资金操作流水号 | 8077735255938032 |
| operation_type | String | 必须 | 16 | 资金操作类型,枚举值如下:FREEZE:冻结UNFREEZE:解冻PAY:转交易 | FREEZE |
| amount | String | 必须 | 11 | 本次操作冻结的金额单位为:元(人民币),精确到小数点后两位 | 0.01 |
| status | String | 必须 | 20 | 资金预授权明细的状态,枚举值如下:INIT:初始 SUCCESS: 该明细操作成功 CLOSED:该明细操作已关闭 | SUCCESS |
| gmt_create | String | 必须 | 20 | 明细创建时间 | 2014-09-15 11:23:04 |
| gmt_trans | String | 必须 | 20 | 明细处理完成时间 | 2014-09-15 11:23:04 |
| payer_logon_id | String | 必须 | 100 | 付款方支付宝账号登录号,脱敏 | test***@alitest.com |
| payer_user_id | String | 必须 | 32 | 付款方支付宝账号UID | 2088102000275885 |
| payee_logon_id | String | 可选 | 100 | 收款方支付宝账号,脱敏 | 159****5620 |
| payee_user_id | String | 可选 | 32 | 收款方支付宝账号UID | 2088102000275795 |
| total_freeze_amount | String | 必须 | 11 | 累计冻结金额 | 0.01 |
| total_unfreeze_amount | String | 必须 | 11 | 累计解冻金额 | 0.01 |
| total_pay_amount | String | 必须 | 11 | 累计支付金额 | 0.01 |
| rest_amount | String | 必须 | 11 | 剩余冻结金额 | 0.01 |
| credit_amount | String | 可选 | 11 | 本次操作中信用金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| fund_amount | String | 可选 | 11 | 本次操作中自有资金金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_freeze_credit_amount | String | 可选 | 11 | 累计冻结信用金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_freeze_fund_amount | String | 可选 | 11 | 累计冻结自有资金金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_unfreeze_credit_amount | String | 可选 | 11 | 累计解冻信用金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_unfreeze_fund_amount | String | 可选 | 11 | 累计解冻自有资金金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_pay_credit_amount | String | 可选 | 11 | 累计支付信用金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| total_pay_fund_amount | String | 可选 | 11 | 累计支付自有资金金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| rest_credit_amount | String | 可选 | 11 | 剩余冻结信用金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| rest_fund_amount | String | 可选 | 11 | 剩余冻结自有资金金额,单位为:元(人民币),精确到小数点后两位 | 0.01 |
| pre_auth_type | String | 可选 | 20 | 预授权类型,目前支持 CREDIT_AUTH(信用预授权); 商家可根据该标识来判断该笔预授权的类型,当返回值为"CREDIT_AUTH"表明该笔预授权为信用预授权,没有真实冻结资金;当返回值为空或者不为"CREDIT_AUTH"则表明该笔预授权为普通资金预授权,会冻结用户资金。 | CREDIT_AUTH |
| credit_merchant_ext | String | 可选 | 128 | 芝麻透出给商家的信息,具体内容由商家与芝麻约定后返回 | {"1003190":"true"} |
异步返回结果示例
假设商家传入的 notify_url 为:https://www.merchant.com/receive_notify.htm,则示例异步通知如下:
https://www.merchant.com/receive_notify.htm?gmt_create=2021-12-06 23%3A59%3A55&charset=utf-8&rest_credit_amount=99.00&operation_type=FREEZE&sign=$$$&rest_fund_amount=0.00&auth_no=2021120610002001030501221111¬ify_id=2021120700222000000090241427601111&total_freeze_credit_amount=99.00¬ify_type=fund_auth_freeze&gmt_trans=2021-12-06 23%3A59%3A59&operation_id=20211206696407711111&total_pay_fund_amount=0.00&out_request_no=210781146788652855760491111&payer_user_id=2088122536931111&app_id=2021002110681111&sign_type=RSA2&amount=99.00&rest_amount=99.00¬ify_time=2021-12-07 00%3A00%3A00&fund_amount=0.00&total_pay_credit_amount=0.00&payee_user_id=2088041032831111&credit_amount=99.00&pre_auth_type=CREDIT_AUTH&out_order_no=2107811467886528557601111&total_freeze_fund_amount=0.00&payee_logon_id=it_***%40meituan.com&version=1.0&total_unfreeze_fund_amount=0.00&total_pay_amount=0.00&total_freeze_amount=99.00&total_unfreeze_credit_amount=0.00&total_unfreeze_amount=0.00&status=SUCCESS&payer_logon_id=131****1111
**注意:**第三方代商家调用支付接口得到的异步通知有所不同,会带上 auth_app_id,即第三方应用的 APPID,第三方代调用场景下,服务商收到的异步通知示例如下:
https://www.merchant.com/receive_notify.htm?gmt_create=2021-12-06 23%3A59%3A55&charset=utf-8&rest_credit_amount=99.00&operation_type=FREEZE&sign=$$$&rest_fund_amount=0.00&auth_no=2021120610002001030501221111¬ify_id=2021120700222000000090241427601111&total_freeze_credit_amount=99.00¬ify_type=fund_auth_freeze&gmt_trans=2021-12-06 23%3A59%3A59&operation_id=20211206696407711111&total_pay_fund_amount=0.00&out_request_no=210781146788652855760491111&payer_user_id=2088122536931111&app_id=2021002110681111&sign_type=RSA2&amount=99.00&rest_amount=99.00¬ify_time=2021-12-07 00%3A00%3A00&fund_amount=0.00&total_pay_credit_amount=0.00&payee_user_id=2088041032831111&credit_amount=99.00&pre_auth_type=CREDIT_AUTH&out_order_no=2107811467886528557601111&total_freeze_fund_amount=0.00&payee_logon_id=it_***%40meituan.com&version=1.0&total_unfreeze_fund_amount=0.00&total_pay_amount=0.00&total_freeze_amount=99.00&total_unfreeze_credit_amount=0.00&auth_app_id=2021002110681111&total_unfreeze_amount=0.00&status=SUCCESS&payer_logon_id=131****1111
异步通知结果验签
推荐使用官方 SDK 封装的 rsaCheckV1 或 rsaCertCheckV1 进行验签,若不使用 SDK,请按照以下流程处理验签。
//官方SDk验签方法
/**
* 如果是RSA或RSA2验签,请调用此方法进行验签
* Params:
* params – 待验签的从支付宝接收到的参数Map
* alipayPublic – 支付宝公钥字符串
* charset – 参数内容编码集
* signType – 指定采用的签名方式,RSA或RSA2
* Returns:
* true:验签通过;false:验签不通过
*/
boolean isSign = AlipaySignature.rsaCheckV1( params, alipayPublic, "UTF-8","RSA2");
/**
* 如果是公钥证书验签,请调用此方法进行验签
* Params:
* params – 待验签的从支付宝接收到的参数Map
* alipayPublicCertPath – 支付宝公钥证书本地路径
* charset – 参数内容编码集
* signType – 指定采用的签名方式,RSA2
* Returns:
* true:验签通过;false:验签不通过
*/
boolean isSign = AlipaySignature.rsaCertCheckV1( params, alipayPublicCertPath, "UTF-8","RSA2");
- 在通知返回参数列表中,除去 sign、sign_type 两个参数外,凡是通知返回回来的参数皆是待验签的参数。
- 将剩下参数进行 URLDecode,然后进行字典排序,组成字符串,得到待签名字符串:
amount=99.00&app_id=2021002110681111&auth_app_id=2021002110681111&auth_no=2021120610002001030501221111&charset=utf-8&credit_amount=99.00&fund_amount=0.00&gmt_create=2021-12-06 23:59:55&gmt_trans=2021-12-06 23:59:59¬ify_id=2021120700222000000090241427601111¬ify_time=2021-12-07 00:00:00¬ify_type=fund_auth_freeze&operation_id=20211206696407711111&operation_type=FREEZE&out_order_no=2107811467886528557601111&out_request_no=210781146788652855760491111&payee_logon_id=it_***@meituan.com&payee_user_id=2088041032831111&payer_logon_id=131****1111&payer_user_id=2088122536931111&pre_auth_type=CREDIT_AUTH&rest_amount=99.00&rest_credit_amount=99.00&rest_fund_amount=0.00&status=SUCCESS&total_freeze_amount=99.00&total_freeze_credit_amount=99.00&total_freeze_fund_amount=0.00&total_pay_amount=0.00&total_pay_credit_amount=0.00&total_pay_fund_amount=0.00&total_unfreeze_amount=0.00&total_unfreeze_credit_amount=0.00&total_unfreeze_fund_amount=0.00&version=1.0
- 将签名参数(sign)使用 base64 解码为字节码串。
- 使用 RSA/RSA2 的验签方法(即发起请求时的加签方法),通过签名字符串、签名参数(经过 base64 解码)及支付宝公钥验证签名。
- 需要严格按照如下描述校验通知数据的正确性:
-
- 商家需要验证该通知数据中的 out_order_no、out_request_no 是否为商家系统中创建的订单号。
- 判断 amount 是否确实为本次操作的金额(即商家发起冻结、解冻时的金额)。
- 校验通知中的 payee_user_id 是否为 out_order_no、out_request_no 这笔单据的收款方。
上述有任何一个验证不通过,则表明本次通知是异常通知,务必忽略。在上述验证通过后商家必须根据支付宝不同类型的业务通知,正确的进行不同的业务处理,并且过滤重复的通知结果数据。
异步通知特性
- 在进行异步通知交互时,如果支付宝收到的应答不是
success,支付宝会认为通知失败,会通过一定的策略定期重新发起通知。重试逻辑为:当未收到success时 立即尝试重发 3 次通知,若 3 次仍不成功,则后续通知的间隔频率为:4m、10m、10m、1h、2h、6h、15h。 - 商家设置的异步地址(notify_url)需保证无任何字符,如空格、HTML 标签,且不能重定向。(如果重定向,支付宝会收不到 success 字符,会被支付宝服务器判定为该页面程序运行出现异常,而重发处理结果通知)。
- 支付宝是用 POST 方式发送通知信息,商户获取参数的方式如下:
request.Form("out_trade_no")、$_POST['out_trade_no']。 - 支付宝针对同一条异步通知重试时,异步通知参数中的 notify_id 是不变的。
修改于 2023-11-21 01:59:12