开发者设置

欢迎来到GoPay开发者设置。

该文档旨在帮助开发者快速理解并正确使用 GoPay 开发者设置中的各项功能，减少常见配置错误，提升接入成功率。我们建议您完整阅读该文档，以熟悉与产品相关的功能和工作流程。

一.密钥管理

1 .APP管理

该模块用来管理应用、查看/创建 App、查看 App Secret、轮换密钥、配置IP白名单设置等。点击查看：应用及密钥管理流程

GoPay使用开发者账号(appId/appSecret)对请求进行身份验证，开发者账号信息通过开发者设置页面进行管理(设置 > 开发者设置)。请勿将开发者账号信息放置在可公开访问的区域，例如 GitHub等，避免信息泄漏。

1. 新增应用
   
   为你的系统对接 GoPay 提供一个独立的身份实体，点击“创建凭据”，填写应用名称，即可创建。
   
   
   
   
2. 查看app密钥
   
   点击“获取密钥”，可以查看当前app密钥，请妥善保管您的app密钥，如果怀疑密钥泄漏，请及时更换密钥。
   
   
   
   
3. IP访问限制
   
   点击“IP访问限制”，可以为您的app开启ip白名单功能，最大允许IP数量可以随时调控。
   
   

2.API管理

这个模块您可以为您的app配置相应的权限。点击查看：API 权限配置流程

点击“添加权限”，您可以看到可供选择的权限，勾选后点击确认即可。

 

3.IP白名单

在该模块可以为您的app添加/管理允许访问的公网/IP范围。点击查看：IP 白名单配置流程

注意⚠️若要为app添加白名单IP，需要先在App管理为该App开启IP白名单功能。

通过限制来源 IP，您可以降低未授权访问的风险，确保生产环境的访问受控。添加允许访问 GoPay API 的公网 IP ，非白名单 IP 将被拒绝访问。

测试建议：

• 在受控环境内从白名单 IP 发起请求，验证是否通过；
• 从非白名单 IP 测试是否被阻断。与 VPN/私有线对接时，确保白名单覆盖实际出口 IP。
• 定期审查白名单，移除不再需要的条目。

 

二.WebHook管理

1.WebHook管理

Webhook 管理提供一系列 API 便于您管理 Webhook 通知订阅。点击查看：WebHook 配置及日志排查流程

点击创建WebHook，填写如下信息：

您在目标应用中配置一个 Webhook 地址（URL），以便接收事件通知。当预设事件（如交易通知推送）发生时，会触发 Webhook。

2.WebHook记录

在该模块您可以查看历史回调、状态、日志、重试等。

通过查看WebHook记录，您可以快速定位回调失败原因、重放策略、幂等性处理问题。

点击详情可以看到本次webhook的详细记录。

 

常见操作流程

1.创建一个新的应用并获取凭证

  跳转到 GoPay 开发者设置 > App 管理 > 新增应用
  填写应用名称、用途、回调域等信息
  提交后获得 AppId，立即在安全的凭证管理系统中存档 AppSecret
 ⚠️只在受信任的环境中记录密钥，如需将密钥写入代码，请使用安全存储/证书管理工具

2.绑定 API 调用并签名

  在后端实现签名逻辑，按文档规定构造 stringToSign
  使用 appSecret 生成签名并在请求头中传递
  服务器端校验签名与时间戳，防止重放
  使用测试环境密钥进行请求，确保返回正确的业务响应与错误码

3.配置 IP 白名单

  转到 IP 白名单，添加允许访问的服务器出口 IP
  保存并重新发起请求，确认请求能正确到达并被处理
⚠️若环境涉及代理，请确保实际出口 IP 在白名单内

4. 配置 WebHook

  转到 WebHook 管理，填入回调地址
  选择需要的事件类型，保存
  设置密钥（secret），用于签名校验
  通过“测试 WebHook”按钮触发一次回调，验证签名和载荷正确性

5.查看 WebHook 日志并排错

  打开 WebHook 记录，找到对应事件
  检查发送状态、响应时间、错误信息
  如失败，检查网络连通性、签名验证、目标端点健康状况

 

FAQ 

1.如何确认AppSecret 是否已暴露？
 检查最近的系统日志与访问来源，一旦怀疑泄露，立即轮换并在后端全量替换。

2.WebHook 回调失败怎么办？
检查回调地址可达性、证书有效性、签名正确性、事件类型配置是否匹配、并查看日志中的错误信息。

3.密钥轮换对已接入的应用有什么影响？
需要在前端/后端同时更新新密钥，确保签名逻辑使用新密钥。