fix: 微信支付回调验签改用公钥直接验证

wechatpay-node-v3 的 verifySign 会尝试拉取平台证书，
但我们使用的是微信支付公钥模式，不需要平台证书。
改用 crypto.createVerify 直接用公钥做 RSA-SHA256 验签。
同时增加 serial 与 WXPAY_PUBLIC_KEY_ID 的匹配校验。

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

src/lib/wxpay/provider.ts

@@ -107,6 +107,12 @@ export class WxpayProvider implements PaymentProvider {
     if (!timestamp || !nonce || !signature || !serial) {
       throw new Error('Missing required Wechatpay signature headers');
     }
+
+    // 验证 serial 匹配我们配置的公钥 ID
+    if (env.WXPAY_PUBLIC_KEY_ID && serial !== env.WXPAY_PUBLIC_KEY_ID) {
+      throw new Error(`Wxpay serial mismatch: expected ${env.WXPAY_PUBLIC_KEY_ID}, got ${serial}`);
+    }
+
     const valid = await verifyNotifySign({ timestamp, nonce, body, serial, signature });
     if (!valid) {
       throw new Error('Wxpay notification signature verification failed');