在处理微信支付 V3 版本的回调通知时，验证签名是一个关键步骤，以确保通知确实来自微信服务器，并未被篡改。微信支付 V3 使用了基于证书的签名机制，主要依赖于商户私钥和微信平台公钥进行签名验证。 ### 验签流程概述 1. **获取请求头中的签名信息**： - 微信支付回调请求头中包含 `Wechatpay-Timestamp`、`Wechatpay-Nonce` 和 `Wechatpay-Signature` 三个字段。 - 其中，`Wechatpay-Signature` 是微信使用其私钥对请求体（body）进行签名的结果。 2. **构造待验签字符串**： - 验签字符串由 `Wechatpay-Timestamp`、`Wechatpay-Nonce` 和请求体（body）拼接而成。 - 格式为：`timestamp\nnonce\nbody\n`（注意末尾的换行符）。 3. **使用微信平台公钥验证签名**： - 获取微信平台公钥（可通过微信支付 API 获取）。 - 使用 `Wechatpay-Signature` 对构造的待验签字符串进行签名验证。 ### Python 实现微信支付 V3 回调验签 以下是一个 Python 实现的验签示例，基于 `cryptography` 库处理 RSA 签名验证： ```python import base64 import hashlib from cryptography.hazmat.primitives import hashes from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives.serialization import load_pem_public_key from cryptography.exceptions import InvalidSignature def verify_wechatpay_signature(public_key_pem, timestamp, nonce, body, signature_b64): """ 验证微信支付 V3 回调签名 :param public_key_pem: 微信平台公钥（PEM 格式） :param timestamp: 请求头中的 Wechatpay-Timestamp :param nonce: 请求头中的 Wechatpay-Nonce :param body: 请求体（原始字符串） :param signature_b64: 请求头中的 Wechatpay-Signature（Base64 编码） :return: 验签是否成功 """ # 构造待签名字符串 message = f"{timestamp}\n{nonce}\n{body}\n".encode("utf-8") # 加载微信平台公钥 public_key = load_pem_public_key(public_key_pem.encode("utf-8")) # 解码 Base64 签名 signature = base64.b64decode(signature_b64) # 执行验签 try: public_key.verify( signature, message, padding.PKCS1v15(), hashes.SHA256() ) return True except InvalidSignature: return False ``` ### 使用说明 1. **获取微信平台公钥**： - 可通过微信支付 API 获取平台公钥，或从微信商户平台下载。 - 确保公钥为 PEM 格式，例如： ``` -----BEGIN PUBLIC KEY----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... -----END PUBLIC KEY----- ``` 2. **提取请求头字段**： - 从回调请求头中提取 `Wechatpay-Timestamp`、`Wechatpay-Nonce` 和 `Wechatpay-Signature`。 - 请求体应为原始字符串，不要进行 JSON 解析。 3. **调用验签函数**： - 传入公钥、时间戳、随机字符串、请求体和签名进行验证。 ### 注意事项 - 确保使用的公钥与签名算法匹配（如 RSA-SHA256）。 - 验签失败时应记录日志并拒绝处理支付结果。 - 微信支付回调通知中可能包含敏感数据，需对 `resource` 对象进行解密，如引用[^3]中所述。 ###