开发指引

安全标准规范流程图

1、 用户向商户系统后台请求下单，商户后台必须做好安全校验

• 当跨域请求不是简单请求时，浏览器会发起Options预检请求，此时商户后台需要支持Options请求且校验Origin头部，如果不在允许的白名单列表内，则返回403且不返回Access-Control-Allow-* 相关头部

• 针对GET/POST的跨域下单请求，商户后台需要校验Origin头部是否合法且用户Cookie是否完备（若用户未登陆则先引导登陆商户站点），否则返回403且不返回Access-Control-Allow-* 相关头部

2、由商户后台向微信支付发起下单请求（调用统一下单接口）注：交易类型trade_type=MWEB

3、统一下单接口返回支付相关参数给商户后台，如支付跳转url（参数名“mweb_url”），商户通过mweb_url调起微信支付中间页

4、中间页进行H5权限的校验，安全性检查（此处常见错误请见下文）

5、如支付成功，商户后台会接收到微信侧的异步通知

6、用户在微信支付收银台完成支付或取消支付,返回商户页面（默认为返回支付发起页面）

7、商户在展示页面，引导用户主动发起支付结果的查询

8,、商户后台判断是否接收到微信侧的支付结果通知，如没有，后台调用我们的订单查询接口确认订单状态（查单实现可参考：支付回调和查单实现指引）

9、展示最终的订单支付结果给用户