1.6 KiB
1.6 KiB
以下内容添加到 LAUNCH-CHECKLIST.md 的 5.4 安全加固之后
5.5 微信 API 安全(证书签名)(依赖 3.4)
| 状态 | 项目 |
|---|---|
| 已完成 | 微信后台申请 API 安全证书 |
将 RSA 私钥文件放到服务器 D:\NeoZQYY\secrets\wx_api_private_key.pem |
|
将平台证书放到服务器 D:\NeoZQYY\secrets\wx_api_cert.cer |
|
在 .env.local 中配置 WX_API_CERT_SN、WX_API_PRIVATE_KEY_PATH、WX_API_CERT_PATH、WX_API_SYMMETRIC_KEY |
|
安装依赖 pip install cryptography |
|
实现签名工具类 app/utils/wx_api_sign.py |
|
| 在需要签名的 API 调用中集成签名逻辑 |
微信 API 安全提供了四样材料:
| 材料 | 用途 | 存放位置 |
|---|---|---|
| 证书编号(SN) | 请求头标识 | .env.local 的 WX_API_CERT_SN |
.cer 证书文件 |
验证微信响应签名 | D:\NeoZQYY\secrets\wx_api_cert.cer |
| 对称密钥(AES Key) | 解密敏感数据(如手机号) | .env.local 的 WX_API_SYMMETRIC_KEY |
| 非对称密钥(RSA 私钥) | 对请求签名 | D:\NeoZQYY\secrets\wx_api_private_key.pem |
安全要求:
- 私钥文件和对称密钥绝对不能提交到 Git
D:\NeoZQYY\secrets\目录已在.gitignore和server-exclude.txt中排除- 证书有有效期,到期前需在微信后台重新申请
同时更新 3.4 密钥配置,补充以下条目:
| | WX_API_CERT_SN 写入服务器 .env.local |
| | WX_API_SYMMETRIC_KEY 写入服务器 .env.local |
| | RSA 私钥文件放到 D:\NeoZQYY\secrets\ |