src/lib/alipay/sign.ts

import crypto from 'crypto';

/** 自动补全 PEM 格式（PKCS8） */
function formatPrivateKey(key: string): string {
  if (key.includes('-----BEGIN')) return key;
  return `-----BEGIN PRIVATE KEY-----\n${key}\n-----END PRIVATE KEY-----`;
}

function formatPublicKey(key: string): string {
  if (key.includes('-----BEGIN')) return key;
  return `-----BEGIN PUBLIC KEY-----\n${key}\n-----END PUBLIC KEY-----`;
}

/** 生成 RSA2 签名 */
export function generateSign(params: Record<string, string>, privateKey: string): string {
  const filtered = Object.entries(params)
    .filter(([key, value]) => key !== 'sign' && key !== 'sign_type' && value !== '' && value !== undefined && value !== null)
    .sort(([a], [b]) => a.localeCompare(b));

  const signStr = filtered.map(([key, value]) => `${key}=${value}`).join('&');

  const signer = crypto.createSign('RSA-SHA256');
  signer.update(signStr);
  return signer.sign(formatPrivateKey(privateKey), 'base64');
}

/** 用支付宝公钥验证签名 */
export function verifySign(params: Record<string, string>, alipayPublicKey: string, sign: string): boolean {
  const filtered = Object.entries(params)
    .filter(([key, value]) => key !== 'sign' && key !== 'sign_type' && value !== '' && value !== undefined && value !== null)
    .sort(([a], [b]) => a.localeCompare(b));

  const signStr = filtered.map(([key, value]) => `${key}=${value}`).join('&');

  const verifier = crypto.createVerify('RSA-SHA256');
  verifier.update(signStr);
  return verifier.verify(formatPublicKey(alipayPublicKey), sign, 'base64');
}
-												feat: 集成支付宝电脑网站支付（alipay direct）

- 新增 src/lib/alipay/ 模块：RSA2 签名、网关客户端、AlipayProvider
- 新增 /api/alipay/notify 异步通知回调路由
- config.ts 添加 ALIPAY_* 环境变量
- payment/index.ts 注册 alipaydirect 提供商
- 27 个单元测试全部通过

											
										
										
											2026-03-05 01:48:10 +08:00
+								import crypto from 'crypto';
 								/** 自动补全 PEM 格式（PKCS8） */
 								function formatPrivateKey(key: string): string {
 								  if (key.includes('-----BEGIN')) return key;
 								  return `-----BEGIN PRIVATE KEY-----\n${key}\n-----END PRIVATE KEY-----`;
 								}
 								function formatPublicKey(key: string): string {
 								  if (key.includes('-----BEGIN')) return key;
 								  return `-----BEGIN PUBLIC KEY-----\n${key}\n-----END PUBLIC KEY-----`;
 								}
 								/** 生成 RSA2 签名 */
 								export function generateSign(params: Record<string, string>, privateKey: string): string {
 								  const filtered = Object.entries(params)
-												fix: 后端资金安全修复 — 金额覆盖、过期订单、退款原子性等 9 项

- confirmPayment 不再覆盖 amount，实付金额写入 payAmount
- EXPIRED 订单增加 5 分钟宽限窗口
- 退款流程先扣余额再退款，失败可回滚
- 支付宝签名过滤 sign_type
- executeRecharge 使用 CAS 更新
- createOrder rechargeCode 事务保护
- EasyPay/Sub2API client 添加 10s 超时
- db.ts 统一从 getEnv() 获取 DATABASE_URL
- 添加 paymentType+paidAt 复合索引

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-07 04:15:48 +08:00
+								    .filter(([key, value]) => key !== 'sign' && key !== 'sign_type' && value !== '' && value !== undefined && value !== null)
-												feat: 集成支付宝电脑网站支付（alipay direct）

- 新增 src/lib/alipay/ 模块：RSA2 签名、网关客户端、AlipayProvider
- 新增 /api/alipay/notify 异步通知回调路由
- config.ts 添加 ALIPAY_* 环境变量
- payment/index.ts 注册 alipaydirect 提供商
- 27 个单元测试全部通过

											
										
										
											2026-03-05 01:48:10 +08:00
+								    .sort(([a], [b]) => a.localeCompare(b));
 								  const signStr = filtered.map(([key, value]) => `${key}=${value}`).join('&');
 								  const signer = crypto.createSign('RSA-SHA256');
 								  signer.update(signStr);
 								  return signer.sign(formatPrivateKey(privateKey), 'base64');
 								}
 								/** 用支付宝公钥验证签名 */
 								export function verifySign(params: Record<string, string>, alipayPublicKey: string, sign: string): boolean {
 								  const filtered = Object.entries(params)
-												fix: 后端资金安全修复 — 金额覆盖、过期订单、退款原子性等 9 项

- confirmPayment 不再覆盖 amount，实付金额写入 payAmount
- EXPIRED 订单增加 5 分钟宽限窗口
- 退款流程先扣余额再退款，失败可回滚
- 支付宝签名过滤 sign_type
- executeRecharge 使用 CAS 更新
- createOrder rechargeCode 事务保护
- EasyPay/Sub2API client 添加 10s 超时
- db.ts 统一从 getEnv() 获取 DATABASE_URL
- 添加 paymentType+paidAt 复合索引

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

											
										
										
											2026-03-07 04:15:48 +08:00
+								    .filter(([key, value]) => key !== 'sign' && key !== 'sign_type' && value !== '' && value !== undefined && value !== null)
-												feat: 集成支付宝电脑网站支付（alipay direct）

- 新增 src/lib/alipay/ 模块：RSA2 签名、网关客户端、AlipayProvider
- 新增 /api/alipay/notify 异步通知回调路由
- config.ts 添加 ALIPAY_* 环境变量
- payment/index.ts 注册 alipaydirect 提供商
- 27 个单元测试全部通过

											
										
										
											2026-03-05 01:48:10 +08:00
+								    .sort(([a], [b]) => a.localeCompare(b));
 								  const signStr = filtered.map(([key, value]) => `${key}=${value}`).join('&');
 								  const verifier = crypto.createVerify('RSA-SHA256');
 								  verifier.update(signStr);
 								  return verifier.verify(formatPublicKey(alipayPublicKey), sign, 'base64');
 								}