之前用 golang 实现微信支付, 为了偷懒就没有加自动退款功能。 因为本以为是个试验性项目也没有人会去退款,再就是退款需要配置 API 证书,看起来很麻烦。
没想到,项目有真实客户需求了,于是不得不补上退款功能。 同时,由于涉及到一个微信小程序多个商户号的支付,及退款问题,需要每个商户配置一套证书。
微信官方的退款文档
https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=9_4
主要看里面哪些参数是必填的。
API 证书
关于 API 证书的介绍文档
https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=4_3
微信支付接口中,涉及资金回滚的接口会使用到API证书,包括退款、撤销接口。商家在申请微信支付成功后,收到的相应邮件后,可以按照指引下载API证书,也可以按照以下路径下载:微信商户平台(pay.weixin.qq.com)-->账户中心-->账户设置-->API安全
退款相关的数据结构及函数
我使用的 golang 微信支付的三方库:
https://github.com/wleven/wxpay
我把其中涉及到退款的代码,摘了出来,方便理解:
config := entity.PayConfig{
// 传入支付初始化参数
AppID string // 商户/服务商 AppId(公众号/小程序)
MchID string // 商户/服务商 商户号
SubAppID string // 子商户公众号ID
SubMchID string // 子商户商户号
PayNotify string // 支付结果回调地址
RefundNotify string // 退款结果回调地址
Secret string // 微信支付密钥
APIClientPath APIClientPath // API证书内容,使用V3接口必传
SerialNo string // 证书编号,使用V3接口必传
}
// APIClientPath 微信支付API证书
// 虽然最新版的接口已经将这个由 string 改成了 byte array,我还是觉得 string 方便管理
// 但是参考 https://github.com/wleven/wxpay/issues/10
// 给出的理由也很合理
// 对于 SaaS 系统来说,保存着多个商户的证书文件,通常文件不会保存到服务器上,而将其保存在 S3 或其它对象存储中。因此无法直接设置证书文件路径。
type APIClientPath struct {
Cert string // 证书路径
Key string // 私钥证书路径,使用V3接口必传
Root string // 根证书路径
}
type APIClientPath struct {
Cert []byte // 证书内容
Key []byte // 私钥证书内容,使用V3接口必传
Root []byte // 根证书内容
}
// 申请退款
if data, err := wxpay.V2.Refund(V2.Refund{/* 传入参数 */}); err == nil {
}
// Refund 退款参数
type Refund struct {
TransactionID string `json:"transaction_id,omitempty"` // 微信支付ID
OutTradeNo string `json:"out_trade_no,omitempty"` // 商户订单ID
OutRefundNo string `json:"out_refund_no,omitempty"` // 商户系统内部的退款单号
TotalFee int `json:"total_fee,omitempty"` // 订单总金额,单位为分
RefundFee int `json:"refund_fee,omitempty"` // 退款总金额,订单总金额
RefundFeeType string `json:"refund_fee_type,omitempty"` // 退款货币类型,需与支付一致,或者不填。
RefundDesc string `json:"refund_desc,omitempty"` // 若商户传入,会在下发给用户的退款消息中体现退款原因
RefundAccount string `json:"refund_account,omitempty"` // 退款资金来源 仅针对老资金流商户使用
}
升级 wleven/wxpay 版本到最新 v1.3.1
因为更改了证书配置的字段类型。担心以后要是更新,还得再兼容,不如一步到位。
> go get github.com/wleven/wxpay@latest
go: downloading github.com/wleven/wxpay v1.3.1
go: upgraded github.com/wleven/wxpay v1.2.9 => v1.3.1
证书,密钥的区别
从微信后台下载的证书压缩包里有三个文件:
- apiclient_key.p12: 证书 pkcs12 格式。包含了私钥信息的证书文件,为p12(pfx)格式,由微信支付签发给您用来标识和界定您的身份。windows上可以直接双击导入系统,导入过程中会提示输入证书密码,证书密码默认为您的商户号(如:1900006031)
- apiclient_cert.pem: 证书 pem 格式。从 apiclient_cert.p12 中导出证书部分的文件,为 pem 格式。由于部分开发语言及系统环境不能直接使用 p12 格式的证书,所以需要 pem 格式的证书。
- apiclient_key.pem: 证书密钥 pem 格式。从 apiclient_cert.p12 中导出密钥部分的文件,为 pem 格式
这三个文件的区别是什么?
- apiclient_cert.p12 是商户证书文件,除 PHP 外的开发均使用此证书文件。而实际上我用的这个三方 golang 库也不能直接使用 p12 格式的证书。需要使用导出的 pem 格式。
- 商户如果使用 .NET 环境开发,请确认 Framework 版本大于2.0,必须在操作系统上双击安装证书 apiclient_cert.p12 后才能被正常调用
手动导出 pem 格式证书的命令。虽然暂时用不到,留个记录。
openssl pkcs12 -clcerts -nokeys -in apiclient_cert.p12 -out apiclient_cert.pem
openssl pkcs12 -nocerts -in apiclient_cert.p12 -out apiclient_key.pem
如果想了解证书加密的原理, 及这几个文件的作用,可以看下面这个公众号文章,讲的非常细致,易理解:
https://mp.weixin.qq.com/s/Zr_tIlhAjH7v8I-L5FC31g
rootca.pem 去哪里下载
Ubuntu Server 系统下:
ls /etc/ssl/certs/ | grep Root_CA
可以看到内置很多的证书。使用其中的 DigiCert_Global_Root_CA.pem 即可。
x509: certificate signed by unknown authority
调用微信退款接口时,报错:
x509: certificate signed by unknown authority
看上去是我随意指定的 rootca.pem 证书有问题。
参考: https://www.cnblogs.com/Alex80/p/8917033.html
大致意思是,2018 年 5 月,微信支付的 HTTPS 服务器将证书更换为了 DigiCert 签发的证书。 而这个证书大部分操作系统是自带的。2018 年 3月后, 不再提供 CA 证书文件(rootca.pem)下载。
于是我将证书替换为了 DigiCert_Global_Root_CA.pem,就可以成功退款了。
//root, _ := ioutil.ReadFile("/etc/ssl/certs/GlobalSign_Root_CA.pem")
root, _ := ioutil.ReadFile("/etc/ssl/certs/DigiCert_Global_Root_CA.pem")
证书安全防护
- 证书文件不能放在 web 服务器虚拟目录,应放在有访问权限控制的目录中,防止被他人下载;
- 建议将证书文件名改为复杂且不容易猜测的文件名。这点想得倒是很周到,因为我要配置一堆三方的商户支付,本来想新建一个证书目录,然后下面是一堆子目录,每个商户一个,看来还是要把目录名字起的含糊一点比较好。
带证书的网络请求
看了一下这个库里的实现,学习如何在 http 请求里配置证书。
// 网络请求
func (c WxPay) request(url string, body io.Reader, cert bool) (map[string]string, error) {
var client http.Client
if cert {
if err := c.checkClient(); err != nil {
return nil, err
}
// 微信提供的 API 证书,证书和证书密钥 .pem 格式
// certs, _ := tls.LoadX509KeyPair(c.config.APIClientPath.Cert, c.config.APIClientPath.Key)
// https://pkg.go.dev/crypto/tls
// func X509KeyPair(certPEMBlock, keyPEMBlock []byte) (Certificate, error)
// X509KeyPair parses a public/private key pair from a pair of PEM encoded data. On successful return, Certificate.Leaf will be nil because the parsed form of the certificate is not retained.
certs, _ := tls.X509KeyPair(c.config.APIClientPath.Cert, c.config.APIClientPath.Key)
// 微信支付 HTTPS 服务器证书的根证书 .pem 格式
// rootCa, _ := ioutil.ReadFile(c.config.APIClientPath.Root)
pool := x509.NewCertPool()
pool.AppendCertsFromPEM(c.config.APIClientPath.Root)
client = http.Client{Transport: &http.Transport{
DisableKeepAlives: true,
TLSClientConfig: &tls.Config{
RootCAs: pool,
Certificates: []tls.Certificate{certs},
},
}}
}
if err := c.checkConfig(); err != nil {
return nil, err
}
resp, err := client.Post(url, "", body)
if err == nil {
defer resp.Body.Close()
b, _ := ioutil.ReadAll(resp.Body)
var result PublicResponse
_ = xml.Unmarshal(b, &result)
err := result.ResultCheck()
if err == nil {
return utils.XML2MAP(b), nil
}
return nil, err
}
return nil, err
}