支付风控接口 - 商户接入指南

一、概述

为了提升支付安全性，银行渠道在支付流程中新增了风控确认环节。当用户提交支付信息时，支付系统会调用商户配置的风控接口，由商户决定是否允许该笔支付。

商户需要做什么：

配置风控接口 URL（通过管理后台或联系技术支持）

实现风控接口，接收支付系统请求并返回决策结果

二、支付流程

2.1 完整支付流程

2.2 关键时间点

T0: 商户创建订单，获取支付链接

T1: 用户访问支付链接，填写支付信息

T2: 用户提交支付 → 银行渠道调用确认接口

T3: 支付系统调用商户风控接口（商户需要在此处决策）

T4: 根据风控结果继续或终止支付流程

三、商户需要做的事情

3.1 配置风控接口 URL

方式一：通过管理后台配置

登录管理后台

进入商户配置页面

设置银行渠道风控接口 URL

方式二：联系技术支持

提供商户 ID 和风控接口 URL

由技术支持在数据库中配置

配置字段：

merchant_id: 商户ID

risk_control_url: 风控接口完整URL（必须支持 HTTPS）

示例：

merchant_id: 10001
risk_control_url: https://merchant.example.com/api/risk-control

3.2 实现风控接口

商户需要实现一个 HTTP POST 接口，接收支付系统的风控请求并返回决策结果。

3.2.1 接口规范

请求方式： POST

请求头：

Content-Type: application/json

请求体：

{
  "orderId": "ORD202401011234567890",
  "cardPrefix": "123456",
  "cardSuffix": "7890",
  "cardHolderName": "John Doe"
}

字段说明：

字段	类型	必填	说明
orderId	string	是	订单ID（商户创建订单时传入的 orderId）
cardPrefix	string	是	卡号前6位
cardSuffix	string	是	卡号后4位
cardHolderName	string	是	卡持有人姓名

响应规范：

允许支付：

HTTP 状态码：200 OK

响应体："allow"（纯文本字符串）

拒绝支付：

HTTP 状态码：403 Forbidden

响应体："deny"（纯文本字符串）

注意：

接口必须在 5秒内 返回响应，超时将默认拒绝支付

响应体必须是纯文本字符串 "allow" 或 "deny"，不要返回 JSON 格式

四、请求/响应示例

4.1 允许支付的示例

请求：

响应：

HTTP/1.1 200 OK
Content-Type: text/plain

allow

4.2 拒绝支付的示例

请求：

响应：

HTTP/1.1 403 Forbidden
Content-Type: text/plain

deny

支付风控接口 - 商户接入指南

一、概述#

二、支付流程#

2.1 完整支付流程#

2.2 关键时间点#

三、商户需要做的事情#

3.1 配置风控接口 URL#

3.2 实现风控接口#

3.2.1 接口规范#

四、请求/响应示例#

4.1 允许支付的示例#

4.2 拒绝支付的示例#