微信小程序页面迁移校验之前 P5任务处理之前

docs/deployment/launch-checklist-patch.md

@@ -0,0 +1,35 @@
+## 以下内容添加到 LAUNCH-CHECKLIST.md 的 5.4 安全加固之后
+
+### 5.5 微信 API 安全（证书签名）（依赖 3.4）
+
+| 状态 | 项目 |
+|------|------|
+| 已完成 | 微信后台申请 API 安全证书 |
+| | 将 RSA 私钥文件放到服务器 `D:\NeoZQYY\secrets\wx_api_private_key.pem` |
+| | 将平台证书放到服务器 `D:\NeoZQYY\secrets\wx_api_cert.cer` |
+| | 在 `.env.local` 中配置 `WX_API_CERT_SN`、`WX_API_PRIVATE_KEY_PATH`、`WX_API_CERT_PATH`、`WX_API_SYMMETRIC_KEY` |
+| | 安装依赖 `pip install cryptography` |
+| | 实现签名工具类 `app/utils/wx_api_sign.py` |
+| | 在需要签名的 API 调用中集成签名逻辑 |
+
+> 详细使用说明见 [`docs/deployment/wx-api-security-guide.md`](wx-api-security-guide.md)
+
+微信 API 安全提供了四样材料：
+
+| 材料 | 用途 | 存放位置 |
+|------|------|----------|
+| 证书编号（SN） | 请求头标识 | `.env.local` 的 `WX_API_CERT_SN` |
+| `.cer` 证书文件 | 验证微信响应签名 | `D:\NeoZQYY\secrets\wx_api_cert.cer` |
+| 对称密钥（AES Key） | 解密敏感数据（如手机号） | `.env.local` 的 `WX_API_SYMMETRIC_KEY` |
+| 非对称密钥（RSA 私钥） | 对请求签名 | `D:\NeoZQYY\secrets\wx_api_private_key.pem` |
+
+安全要求：
+- 私钥文件和对称密钥绝对不能提交到 Git
+- `D:\NeoZQYY\secrets\` 目录已在 `.gitignore` 和 `server-exclude.txt` 中排除
+- 证书有有效期，到期前需在微信后台重新申请
+
+## 同时更新 3.4 密钥配置，补充以下条目：
+
+| | `WX_API_CERT_SN` 写入服务器 `.env.local` |
+| | `WX_API_SYMMETRIC_KEY` 写入服务器 `.env.local` |
+| | RSA 私钥文件放到 `D:\NeoZQYY\secrets\` |