概述
本系统所有接口均使用HTTPS
协议,请求和响应的数据均使用JSON
格式,所有接口均使用POST
方法请求,请求和响应的数据均使用UTF-8
编码。
网关地址
接口加签验签
本系统包含两种接口:代付接口和代收接口。
代付接口(路径前缀:api/v1/payout)提供商户向用户支付功能;
代收接口(路径前缀:api/v1/payin)用于商户从用户收取资金。
每种接口都采用不同的密钥验证机制,您可以在商户管理系统后台(路径:应用 -> 应用详情 -> API 密钥)查找到相关密钥。在API密钥区域,您可以找到 App ID、App key 以及 App publish key。
对于所有接口请求,请确保携带名为X-App-Id
的请求头,并将值设为已获取的 App ID。如果未添加该请求头,接口将返回403状态码。
代收
对于代收接口,需要在 HTTP 请求报文头部增加 X-Timestamp 和 X-Signature。
X-Timestamp 字段的值采用系统时间的时间戳;
X-Signature 字段的值是利用 HMAC-SHA256 算法生成的签名,签名内容为 HTTP 消息体原始内容,并与时间戳(X-Timestamp)拼接,使用
App publish key
作为密钥。
下面是代收接口请求报文的示例:
代付
对于代付接口,需要在 HTTP 请求报文头部增加 X-Timestamp 和 X-Signature。
X-Timestamp 字段的值采用系统时间的时间戳;
X-Signature 字段的值是利用 HMAC-SHA256 算法生成的签名,签名内容为 HTTP 消息体原始内容,并与时间戳(X-Timestamp)拼接,使用
App key
作为密钥。
下面是代付接口请求报文的示例:
回调
本系统中,所有的回调通知都会采用 App Key 进行签名。与代付代收接口相同地,HTTP 请求报文头部会包含两个字段:X-Signature
和 X-Timestamp
。
X-Timestamp 字段的值采用系统时间的时间戳;
X-Signature 字段的值是利用 HMAC-SHA256 算法生成的签名,签名内容为 HTTP 消息体删除前后换行/空格符,并与时间戳(X-Timestamp)拼接,使用
App Key
作为密钥。
下面是本系统发出通知的 HTTP 请求报文示例:
特别提示
注意:X-Signature 字段的值为 HTTP 报文消息体,直接拼接系统当前时间的时间戳(X-Timestamp)之后,使用 HMAC-SHA256 算法生成的签名,验证时请不要对报文消息体做任何序列化/反序列化处理。
注意:请妥善保管 App Key,避免泄露。
请务必验证每一个回调通知的签名。
参数校验规则说明
调用 API 时,如字段涉及到姓名、电话、邮箱、CPF、CNPJ。请务必按照如下格式传参:
姓名:不超过100个字符,清除前后的空格;
电话:限定传14个字符长度的以+55开头的字符串,参考正则
^+55[1-9]{1}[0-9]{10}$
;邮箱:必须包含@符号,清除前后的空格,避免
áê
等特殊字符;CPF:限定传11个字符的纯数字,不可包含
/-.
等符号。
接口返回
本系统所有接口返回格式均为JSON
格式,返回格式如下:
其中code
为返回码,message
为返回信息,data
为返回数据,data
的数据格式根据不同接口而不同。code 为ok
时表示接口调用成功,否则表示接口调用失败,失败时msg
为失败原因。
详细的返回码请参考接口错误码。
系统出口 IP
系统出口 IP 为 18.231.97.18
,商户需要将该 IP 加入白名单,以保证系统能够正常调用商户的异步通知地址。
请注意,当发生其他 IP 调用 notify_url 时,请忽略该请求,并及时检查是否有恶意攻击行为。本系统出口 IP 发生变更时,会提前由客服通知到每一位商户。
系统时间
一般地,系统使用 Unix 时间戳记录时间。某些特殊字段会使用 ISO Date Time 格式的时间字符串。
Last updated