微信支付服务商模式给所有平台配置的apiv3等秘钥信息都一样,这样有问题吗?

小程序 文章 2022-04-27 19:40 0 全屏看文

微信支付服务商模式给所有平台配置的apiv3等秘钥信息都一样,这样有问题吗?The WeChat payment service provider model configures the same apiv3 and other key information for all platforms. Is there a problem?

微信支付服务商模式给所有平台配置的apiv3等秘钥信息都一样,这样有问题吗?

如商户apiv3秘钥、证书等所有平台配置的信息都是服务商的,这样安全吗?

我的使用场景,比如我是服务商,有个用户自己的公众号上需要对接微信支付,来我这开通了子商户号,是不是我要将我的服务商商户号的apiV3密码、证书提供给他,让他在自己的微信公众号上开发支付功能。如果有多个用户如上同样场景,我需要把我的服务商商户号的apiV3密码都提供给他们吗?

For example, the merchant apiv3 secret key, certificate and other information configured on all platforms are owned by the service provider. Is this safe? My usage scenarios, for example, I am a service provider, and a user needs to connect wechat payment on his own official account. I have opened a sub merchant account here. Do I want to provide him with the apiv3 password and certificate of my service provider's business account, so that he can develop the payment function on his own wechat official account. If there are multiple users in the same scenario as above, do I need to provide them with the apiv3 password of my service provider's account number?

回答:

跨商通:

1、一般商家自己负责开发的话,他为啥要在你那开子商户号,自己开通一个普通商户号,不香吗?

2、商家来你家开通子商户号,一般是指公众号、小程序的开发也是授权给你们承担的,既第三方平台服务商;商家看不到你们代码,不会泄密。

3、如果他非想用子商户号亲自开发,也是间连模式,即你们提供一套额外的接口,收他们调用,然后转换成微信支付API;国外支付一般都这种模式。

王茂林:

子商户之间是否存在互相攻击的可能?

拾忆:

服务商模式直接用服务商接口是不需要涉及用到商户后台的密钥和证书的。

也不需要单独登陆其它商户后台去给商户设置任何信息(需要商户单独授权的权限除外)。

王茂林:服务商的信息要配置到子商户的平台,而且每个平台配置的都一样,每个子商户的平台都知道服务商的配置信息,不理解这样有没有安全问题?
拾忆:不需要啊,服务商有单独的服务商接口,不需要去商户后台设置的。
王茂林:子商户自己的微信公众号支付,作为服务商不是要把自己的证书、秘钥配置到他的公众号网站管理后台,作为支付时的参数调用吗?  还是我理解错了?
拾忆:你说的是直连商户的模式,那个模式和服务商没任何关系。
服务商模式参考服务商文档:https://pay.weixin.qq.com/wiki/doc/apiv3_partner/pages/index.shtml
王茂林:就像这个jsapi下单,不是应该在子商户的应用上开发吗?需要提供服务商的参数
拾忆:在服务商这边开发,所有设置都是在服务商的支付商帐号下设置的,如果不是当前服务商的特约商户的子商户是不能成功调用接口。
王茂林:抱歉 没明白
拾忆:你先看看服务商文档吧,从头开始看。
王茂林:好的  谢谢

-EOF-