《快捷登录接口(alipayauthauthorize)接入与使用规则》由会员分享,可在线阅读,更多相关《快捷登录接口(alipayauthauthorize)接入与使用规则(9页珍藏版)》请在金锄头文库上搜索。
1、 接入与使用规则 快捷登录接口(alipay.auth.authorize) 附录文档 版本号:1.0 支付宝(中国)网络技术有限公司 版权所有 快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 2 页 目录 1 文档说明 . 31.1 文档说明 .31.2 业务术语 .32 责任归属 . 33 技术接入规则 . 44 接口使用规则 . 75 测试流程规则 . 8快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 3 页 1 文档说明 1.1 文档说明 本文档是快捷登录接口(alipay.auth.authorize)附录文档,
2、它详细解释了在技术接入与使用过程中需要注意的地方,以帮助商户避免风险产生。 阅读后如有疑问,请联系支付宝相关技术支持。 1.2 业务术语 表1-1 业务术语 术语术语 解释解释 返回 支付宝根据得到的数据处理完成后,支付宝将处理完成的结果信息反馈给商户网站。 防钓鱼 “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的 Web 站点来进行诈骗活动,受骗者往往 会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容,造成损失。防 钓鱼用来防止以上情况的发生。 敏感词 带有敏感政治倾向、暴力倾向、不健康色彩或不文明的词。 请求 通过 HTTP 协议把需要传输的数据发送给接收方的过程。 授权令牌
3、 经过用户授权,支付宝提供给商户在一定时间内对支付宝某些服务的访问权限,此权限通过 授权令牌标记。 通知 服务器异步通知。支付宝根据得到的数据处理完成后,支付宝的服务器主动发起通知给商户 的网站,同时携带处理完成的结果信息反馈给商户网站。 2 责任归属 文档中所涉及到的规则都是根据在接入与使用支付宝接口的过程中出现的一些主要风险而做的防范措施,请商户予以关注。请在接入及使用支付宝接口的过程中,严格依照支付宝提供的接口技术文档 (快捷登录接口(alipay.auth.authorize).docx) 、代码示例、本文档(快捷登录接口(alipay.auth.authorize)接入与使用规则)等
4、接口资料,否则由此导致的风险以及资金损失或者扩大情形需商户自行承担。 快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 4 页 3 技术接入规则 表3-1 技术接入规则 类型类型 细则细则 原因原因 账号 配置的合作者身份 ID 与安全校验码 key 必须保证与签 约信息匹配 防止接口无法正常使用或出现资 金损失 必须保护合作者身份 ID 与安全校验码 key 的隐私性 防止签约的账号信息被盗用, 导致 资金受损、被他人恶意利用等。 测试完毕后,要把测试账号立刻更换成签约账号。 避免出现返回的用户信息不是签 约时的用户信息。 安全 支付宝的通知 IP 是 12
5、1.0.26.1 与 121.0.26.2。该 IP 地址不是商户访问支付宝的地址, 而是支付宝发送通知 给商户的出口地址。 如果商户网站设置了 IP 白名单 (即 IP 过滤),需要把支付宝的 通知 IP 地址加入白名单中。 商户必须以 DNS 解析的方式访问支付宝接口,不要设 置 DNS cache,不要绑定支付宝 IP。如果为了商户自 身安全必须绑定支付宝 IP 时,必须向支付宝的技术支 持人员备案。 支付宝 IP 地址一旦变更,会导致 商户无法请求或访问支付宝, 致使 商户业务直接不可用。 签名 请求的所有参数,需要根据参数名=参数值的格式,由 字母 a 到 z 的顺序进行排序, 待签
6、名字符串需要以 “参 数名 1=参数值 1&参数名 2=参数值 2&.&参数名 N= 参数值 N”的规则进行拼接。 避免接口无法正常使用 在对请求的参数做签名时, 这些参数必须来源于请求参 数列表,并且除去列表中的参数 sign、sign_type。 避免接口无法正常使用 在对请求的参数做签名时, 对于请求参数列表中那些可 空的参数, 如果选择使用它们, 那么这些参数的参数值 必须不能为空或空值。 避免接口无法正常使用 参数配置 在请求参数列表中,不可空的参数必须配置。 避免接口无法正常使用 在请求参数列表中,可空的但需要多选一的多个参数 中,必须配置至少一个。 避免接口无法正常使用 必须按照
7、请求参数列表中各参数的格式要求配置 避免接口无法正常使用 必须设置请求参数_input_charset(编码格式),即该 参数不能为空,并让该参数加入签名运算。 避免接口无法正常使用 接口构造 必须使用支付宝的网关发送请求信息给支付宝, 请求网 关:https:/ 避免被钓鱼网站利用 快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 5 页 类型类型 细则细则 原因原因 发送给支付宝的请求, 请求参数不仅包含参与签名的参 数,还包含参数 sign、sign_type。 避免接口无法正常使用 发送给支付宝的请求,如果使用 form 表单传输,需要 按照以下要求编
8、写: action的值必须为“https:/ 不允许写成完整的请求链接地址,即禁止https:/ 与之间需包含所有要请求给支付宝的参数, 且每个参数的格式为; 在众多请求参数中,请求参数_input_charset(编码格式)必须存在于 form 表单中,即 form 表单中必须含有; 与之间包含的数据只允许是要请求给支付宝的参数,禁止出现商户自行命名,不在接口技术文档请求参数列表中的其他数据; form 表单的 method 属性,可自行选择 get、post两种。 避免请求支付宝时报错,错误码为 ILLEGAL_SIGN; 在 win7 系统下,如果浏览器是 IE8 以上,有可能出现发送请
9、求链接时会无法跳转到支付宝,当前页面为空白页的情况。 数据传输 必须使用 https 协议,支持 get 或 post 方式提交。 避免接口无法正常使用 通知返回验证 如果有设置通知路径及触发条件, 则必须使用获取到的 参数 notify_id 再次请求支付宝,获取是否是支付宝发 送的验证结果。该请求链接是: https:/ 身份 ID¬ify_id=通知 ID 的值 验证是否是支付宝发来的请求 在对通知的参数做签名时, 这些参数必须来源于支付宝 通知回来的参数,并且除去列表中的参数 sign、 sign_type,依照“参数名 1=参数值 1&参数名 2=参数 值 2&参数名 N=参数
10、值 N”的规则进行拼接,得到 的签名结果与获取到的参数 sign 值做比较。 验证返回的签名 返回数据处理 必须对返回的数据进行处理 以便商户能够了解接口的使用情 况,以及进行商户的后续业务操 作。 快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 6 页 类型类型 细则细则 原因原因 必须判断登录操作以后的业务逻辑处理程序是否有重 复执行 防止出现商户的业务操作被重复 执行, 导致出现资金损失, 如重复 充值、重复付款等。 建议每一次登录操作需以日志形式记录到商户网站的 日志操作数据库中 用来在必要时检查或跟踪业务处 理情况 必须保存返回信息授权令牌 tok
11、en,且不能篡改该信 息。 用于操作其他接口(如即时到账、 担保交易等) 时, 用户免登录功能。 保存下来的返回参数授权令牌 token,必须与快捷登录 使用的登录支付宝账号对应, 不能与其他支付宝账号混 淆。 避免用户免登录时,校验不通过。 确保返回的用户相关信息与签约时开通的信息一致, 无 遗漏或多余。 根据不同的签约商户, 返回的用户 相关信息完整程度不同。 返回用户 具体信息的完整程度由商户签约 时双方约定。 接入环境 不能把接口嵌入 iframe 框架中 避免接口无法正常使用 错误码处理 非法参数(ILLEGAL_ARGUMENT) 若其他参数全部符合接口参数格 式要求, 请检查 r
12、eturn_url 是否为 空。 无权访问(HAS_NO_PRIVILEGE) 若该商户已经申请并且开启了快 捷登录接口, 由于网络或者缓存原 因, 用户登录后获取用户信息失败 导致无权访问。 解决办法: 清除浏 览器缓存, 重新打开浏览器做登录 操作。 自主编写接口 代码规则 如果不使用支付宝提供的代码示例来集成接口, 那么必 须根据技术文档中签名机制和通知返回数据处理章节 及本文档的技术接入规则、 接口使用规则、 测试流程规 则,来编写符合商户网站项目的接口代码。 避免接口无法正常使用 快捷登录接口附录文档 支付宝(中国)网络技术有限公司 版权所有| 版本:1.0 第 7 页 4 接口使用
13、规则 表4-1 接口使用规则 类型类型 规范点规范点 原因原因 业务操作 申请快捷登录接口开通 快捷登录需申请且签约才能开通,未签约 的商户或未开通的商户不能使用。 通过快捷登录后, 商户网站此时须让买家直接 进入下单流程即当前界面为填写订单的页面, 或者让当前界面跳回买家登录前的那一个页 面。 禁止出现让用户设置商户网站的会员密码 的操作界面等把支付宝会员转换为商户网站 自己的会员的操作。 在商务协定上,商户不能有把支付宝会员 转换为商户网站会员的行为。 在商户网站中必须使用支付宝用户号 (返回参 数 user_id)作为唯一标识,禁止使用其他信 息作为唯一标识。 参数 user_id 对于支付宝系统是唯一且不 会变更的,而支付宝
