對微信退款結果通知接口的說明和req_info字段解析（JAVA）

微信支付的申請退款接口，可以設置notify_url參數，這個參數代表微信退款成功後調用商戶自己的接口，當微信調用這個接口時，代表款項正式退給了付款方。

根據觀察，如果是微信零錢支付，調用申請退款接口後是秒退，如果是微信綁定的銀行卡或信用卡支付，大概幾分鐘後到賬。

微信退款申請接口文檔：

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=9_4

微信退款通知接口文檔：

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=9_16&index=10

 

微信的退款通知接口包含了以下參數：

公衆賬號ID	appid	是	String(32)	wx8888888888888888	微信分配的公衆賬號ID（企業號corpid即爲此appId）
退款的商戶號	mch_id	是	String(32)	1900000109	微信支付分配的商戶號
隨機字符串	nonce_str	是	String(32)	5K8264ILTKCH16CQ2502SI8ZNMTM67VS	隨機字符串，不長於32位。推薦隨機數生成算法
加密信息	req_info	是	String(1024)		加密信息請用商戶祕鑰進行解密，詳見解密方式

其中的req_info­參數，包含了微信訂單號，商戶訂單號等信息，解析了req_info字段後，商戶才能知道這筆退款來自哪一個訂單。

 

req_info字段是加密的，解密方法比較麻煩，按照微信提供的文檔的說法，解密req_info字段的套路是這樣的：

1，對加密串A做base64解碼，得到加密串B。

2，對商戶key做md5，得到32位小寫key* ( key設置路徑：微信商戶平臺(pay.weixin.qq.com)-->賬戶設置-->API安全-->密鑰設置 )。

3，用key*對加密串B做AES-256-ECB解密（PKCS7Padding）。

 

下面詳細說一下這個解密流程

 

第一步， base64解碼，得到byte數組。這個直接用java的Base64.decode就可以，比如這樣：

Base64.Decoder decoder = Base64.getDecoder();
byte[] base64ByteArr = decoder.decode(reqInfo);

需要注意的是，這裏得到的byte數組，再轉成String格式時會呈現亂碼的狀態，不用試圖調整編碼格式轉成String看解碼結果了。

即使使用網上的在線解碼網站，解析出來也是亂碼，甚至根本解析不出來。

這種事在微信的文檔裏也不提示一下，我一直以爲我解析錯了。

 

第二步，對key做MD5加密，這一步也不是很複雜。

唯一需要注意的是，應該用商戶祕鑰來生成MD5編碼，別用錯了，不是商戶號，也不是appId什麼的。如果用錯了，在第三步解碼的時候會報

javax.crypto.BadPaddingException: pad block corrupted

這個異常。

話說這個異常是真的坑，根本看不出來是什麼原因，網上的各種方法基本也都沒用。

另外所謂得到小寫key什麼的好像沒什麼用，我看了一下本來就是小寫。

 

第三步，使用PKCS7Padding 格式做AES-256-ECB解密。這一步坑略大。

1，java提供了：

javax.crypto.spec. SecretKeySpec

javax.crypto. Cipher

這兩個類來應對AES解密，然而因爲某些原因，中國的JDK版本並不能支持256格式的AES解密，也就是所謂的PKCS7Padding，中國的JDK能支持的是128格式的AES解密，也就是PKCS5Padding,。

所以，我們需要網上下兩個jar包，替換我們機器上JDK目錄下的jar包，別下錯版本，JDK8版本的這兩個jar包下載地址：

https://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

下載的jar有兩個：

local_policy.jar和US_export_policy.jar

下載好的jar包替換#JavaHome#\jre\lib\security\policy下的同名jar包，有可能這個目錄下還有倆文件夾，limited和unlimited，jar包在這兩個文件夾下，反正lib\security目錄下肯定是有同名文件的，替換了就好了。

替換jar包後java程序需要重啓。

暫時來看替換了這兩個jar包還不會引起什麼不好的影響。

 

2，在解碼之前，需要調用

Security.addProvider(new BouncyCastleProvider());

使解碼器生效，這個加載過程還挺慢的，有時候要好幾秒，還好只需要加載一次就能一直使用。

另外要使用BouncyCastleProvider類，需要額外引入jar包，pom依賴是這樣的：

<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk15on</artifactId>
    <version>1.59</version>
</dependency>

然後就可以使用常規套路進行AES解碼了。

 

以下是一個demo：

import org.bouncycastle.jce.provider.BouncyCastleProvider;

import javax.crypto.Cipher;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.SecretKeySpec;
import java.security.InvalidKeyException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.Security;
import java.util.Base64;

public class ParseReqInfo {

    private static Cipher cipher = null;  //解碼器
    private static String mchkey = "";  //商戶祕鑰

    public static void main(String[] args) {
        String response = "";
        init();
        try {
            parseReqInfo(response);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    public static String parseReqInfo(String reqInfo) throws Exception {
        Base64.Decoder decoder = Base64.getDecoder();
        byte[] base64ByteArr = decoder.decode(reqInfo);

        String result = new String(cipher.doFinal(base64ByteArr));
        System.out.println("解密結果:{}" + result);
        return result;
    }

    public static void init() {
        String key = getMD5(mchkey);
        SecretKeySpec secretKeySpec = new SecretKeySpec(key.getBytes(), "AES");
        Security.addProvider(new BouncyCastleProvider());
        try {
            cipher = Cipher.getInstance("AES/ECB/PKCS7Padding");
            cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (NoSuchPaddingException e) {
            e.printStackTrace();
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        }
    }

    public static String getMD5(String str) {
        try {
            MessageDigest md = MessageDigest.getInstance("MD5");
            String result = MD5(str, md);
            return result;
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return "";
        }
    }

    public static String MD5(String strSrc, MessageDigest md) {
        byte[] bt = strSrc.getBytes();
        md.update(bt);
        String strDes = bytes2Hex(md.digest());
        return strDes;
    }

    public static String bytes2Hex(byte[] bts) {
        StringBuffer des = new StringBuffer();
        String tmp = null;
        for (int i = 0; i < bts.length; i++) {
            tmp = (Integer.toHexString(bts[i] & 0xFF));
            if (tmp.length() == 1) {
                des.append("0");
            }
            des.append(tmp);
        }
        return des.toString();
    }


}

 

微信退款通知的接口數據大概是這樣的（隱藏了商戶號之類的信息）：

<xml><return_code>SUCCESS</return_code><appid><![CDATA[thisisappid]]></appid><mch_id><![CDATA[thisismchid]]></mch_id><nonce_str><![CDATA[8a08081190c634112988ecab3f207948]]></nonce_str><req_info><![CDATA[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]]></req_info></xml>

解析完req_info後的結果大概是這樣的：

<root>

<out_refund_no><![CDATA[1111111]]></out_refund_no>

<out_trade_no><![CDATA[1111111]]></out_trade_no>

<refund_account><![CDATA[REFUND_SOURCE_RECHARGE_FUNDS]]></refund_account>

<refund_fee><![CDATA[1]]></refund_fee>

<refund_id><![CDATA[111111111111111111]]></refund_id>

<refund_recv_accout><![CDATA[支付用戶零錢]]></refund_recv_accout>

<refund_request_source><![CDATA[API]]></refund_request_source>

<refund_status><![CDATA[SUCCESS]]></refund_status>

<settlement_refund_fee><![CDATA[1]]></settlement_refund_fee>

<settlement_total_fee><![CDATA[1]]></settlement_total_fee>

<success_time><![CDATA[2019-07-20 18:40:55]]></success_time>

<total_fee><![CDATA[1]]></total_fee>

<transaction_id><![CDATA[111111111111111111111111]]></transaction_id>

</root>

 

以上