商户处理注意事项

当支付宝处理完成后,支付宝会把处理结果以当前页面跳转同步通知形式,反馈给商户网站。商户可以从页面跳转同步通知页面中获得这些信息,并且在验证通过的判断中增加商户的业务逻辑处理程序。商户对获得的数据必须进行如下处理。

验证签名

首先必需验证签名(参见本文档“附录:签名与验签”),然后验证是否是支付宝发来的通知。

验证是否是支付宝发来的通知

该处的验证是指,对支付宝通知回来的参数notify_id合法性验证。这个验证动作实际上是调用了支付宝的另一个接口“通知验证接口(notify_verify)”来完成的。这个接口请求时使用的是模拟远程HTTP提交,回调模式是“直接在当前页面输出结果”,返回的数据是纯文本格式。

请求的完整链接如下:

https://mapi.alipay.com/gateway.do?service=notify_verify&partner=2088002396712354&notify_id=RqPnCoPT3K9%252Fvwbh3I%252BFioE227%252BPfNMl8jwyZqMIiXQWxhOCmQ5MQO%252FWd93rvCB%252BaiGg

得到的处理结果有两种:

  • 成功时:true
  • 不成功时:报对应错误

业务数据处理注意事项

当商户有传递参数return_url(页面跳转同步通知页面路径)时,商户必须判断商户网站中是否已经对该次的通知结果数据做过同样处理。如果不判断,存在潜在的风险,商户自行承担因此而产生的所有损失。

 

onlineServer