Skip to main content
「开发者设置」是商户开发者管理 API 密钥、安全配置和 Webhook 的地方。

API 密钥

RSA 密钥对管理与商户 ID

安全设置

IP 白名单与登录安全

Webhook

回调地址与事件订阅

API 密钥管理

RSA 密钥对

OpenAPI 使用 RSA 签名进行鉴权,你需要:
  1. 生成密钥对:使用 OpenSSL 生成 2048 位 RSA 密钥对
  2. 上传公钥:将公钥上传至平台
  3. 保管私钥:私钥仅保存在你的服务器中,用于对请求签名
# 生成 RSA 私钥(2048 位)
openssl genrsa -out private_key.pem 2048

# 提取公钥
openssl rsa -in private_key.pem -pubout -out public_key.pem

查看商户 ID

上传公钥后,页面顶部会显示你的 商户 ID(merchantId)。所有 API 调用都需要在 X-Merchant-Id 请求头中携带该 ID。

密钥轮换

如需更换密钥:
  1. 在页面中点击「添加新公钥」
  2. 上传新的公钥文件
  3. 确认后新公钥立即生效(旧的签名请求仍会在 1 小时内兼容)
建议定期轮换密钥以增强安全性。更换前请确保新私钥已在你的服务器中部署。

安全设置

IP 白名单

设置允许调用 OpenAPI 的服务器 IP 地址列表,留空表示不限制。 多个 IP 用英文逗号分隔,例如:192.0.2.1, 198.51.100.42 详见 IP 白名单

登录安全

  • 支持邮箱 + 密码登录
  • 支持多因素认证(MFA):TOTP 动态码或邮箱验证码
  • 支持查看登录历史

Webhook 管理

配置 Webhook 回调地址和订阅事件。

添加 Webhook

  1. 填写回调 URL(必须支持 HTTPS)
  2. 设置签名密钥(Secret),可点击自动生成
  3. 勾选需要订阅的事件类型
  4. 保存

管理已有 Webhook

  • 编辑:修改 URL、密钥或事件订阅
  • 测试发送:向指定事件类型发送测试通知
  • 启用/停用:临时关闭某个 Webhook 推送
  • 查看投递记录:查看历史投递状态和审计日志
详见 Webhook 配置

建议

  • 至少配置一个 Webhook 来接收支付成功事件
  • 可以配置多个 Webhook 地址用于不同环境(如开发、生产)
  • 关键事件(支付成功、退款成功、争议创建)建议全部订阅