一键导入
payment-callback-safety
当代码涉及支付回调、webhook 通知、notify_url、微信支付/支付宝回调处理时触发。防止回调伪造、重放攻击、金额篡改等支付安全问题。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
菜单
当代码涉及支付回调、webhook 通知、notify_url、微信支付/支付宝回调处理时触发。防止回调伪造、重放攻击、金额篡改等支付安全问题。
用 Codex 或 Claude 帮你安装 复制这段 Prompt,粘贴到 Codex、Claude 或其他助手里,让它检查 Skill 页面并帮你完成安装。
网关/代理/WAF/CDN 中间件的安全关键词匹配实现规范,防止纯子串匹配误判正常响应内容中的技术术语(如 Cloudflare、502、error)
涉及浏览器、编辑器、CDN/WAF、IM 平台、操作系统剪贴板、第三方 SaaS 等"外部黑盒系统"的代码编写或 bug 调试时触发。强制先抓真实环境数据再推理,避免连续 2 轮"凭代码推理"的修复 no-op。关键词:粘贴/复制异常、跨平台显示不一致、第三方 API 怪结果、CDN/WAF 拦截、本地复现失败、HTML→MD 转换丢属性。
前端开发规范,包含 Vue 3 编码规范、UI 风格约束、TypeScript 规范等
Java 开发规范,包含命名约定、异常处理、Spring Boot 最佳实践等
网关/代理/WAF/CDN 中间件响应判定与关键词匹配安全规范。适用于 proxy/gateway/waf/cdn/nginx/openresty/rewrite/redirect 等代码,防止把正常长正文中的 Cloudflare、502、bad gateway、error 等技术术语误判为上游错误。
涉及浏览器、编辑器、CDN/WAF、IM 平台、操作系统剪贴板、第三方 SaaS 等"外部黑盒系统"的代码编写或 bug 调试时触发。强制先抓真实环境数据再推理,避免连续 2 轮"凭代码推理"的修复 no-op。关键词:粘贴/复制异常、跨平台显示不一致、第三方 API 怪结果、CDN/WAF 拦截、本地复现失败、HTML→MD 转换丢属性。
| name | payment-callback-safety |
| description | 当代码涉及支付回调、webhook 通知、notify_url、微信支付/支付宝回调处理时触发。防止回调伪造、重放攻击、金额篡改等支付安全问题。 |
当系统涉及第三方支付回调(微信支付、支付宝等)或 webhook 通知时,防止伪造、篡改和重放攻击。
场景: 收到支付回调后直接解密/解析并处理,未验证请求确实来自支付平台
支付回调地址暴露在公网,任何人都可以伪造请求。如果不验签,攻击者可以构造假的"支付成功"通知。
// ❌ 错误: 直接解密处理,未验签
@PostMapping("/payment/callback/wechat")
public String wechatCallback(@RequestBody String body) {
JsonNode json = objectMapper.readTree(body);
// 直接尝试解密 resource
String decrypted = decryptAesGcm(ciphertext, apiV3Key, nonce, aad);
processPayment(decrypted); // 谁发来的都处理
return "{\"code\":\"SUCCESS\"}";
}
// ✅ 正确: 先验签,再解密,再处理
@PostMapping("/payment/callback/wechat")
public String wechatCallback(
@RequestBody String body,
@RequestHeader("Wechatpay-Signature") String signature,
@RequestHeader("Wechatpay-Timestamp") String timestamp,
@RequestHeader("Wechatpay-Nonce") String nonce,
@RequestHeader("Wechatpay-Serial") String serial) {
// 1. 用微信支付平台公钥验签(不是商户私钥)
String message = timestamp + "\n" + nonce + "\n" + body + "\n";
PublicKey platformKey = loadPlatformPublicKey(serial);
if (!verifySignature(message, signature, platformKey)) {
return "{\"code\":\"FAIL\",\"message\":\"验签失败\"}";
}
// 2. 验签通过后再解密和处理
String decrypted = decryptAesGcm(ciphertext, apiV3Key, nonce, aad);
processPayment(decrypted);
return "{\"code\":\"SUCCESS\"}";
}
| 密钥/证书 | 用途 | 持有方 |
|---|---|---|
| 商户私钥 | 商户请求微信时签名 | 商户 |
| 商户 API 证书 | 商户身份标识 | 商户 |
| 微信支付平台公钥/证书 | 验证微信回调签名 | 微信平台签发,商户持有公钥 |
| API V3 Key | 解密回调通知体 | 商户 |
Wechatpay-Serial 匹配对应平台证书(支持证书轮换)场景: 攻击者截获一份真实的支付成功回调,重复发送给系统
合法的旧回调报文签名仍然有效,仅靠验签无法防止重放。
// ❌ 错误: 验签通过就直接处理,不检查是否重复
if (verifySignature(message, signature, platformKey)) {
processPayment(decrypted); // 同一笔单可能被处理多次
}
// ✅ 正确: 三层防重放
// 第 1 层: 时间戳窗口
long callbackTime = Long.parseLong(timestamp);
long now = Instant.now().getEpochSecond();
if (Math.abs(now - callbackTime) > 300) { // 5 分钟窗口
return "{\"code\":\"FAIL\",\"message\":\"timestamp expired\"}";
}
// 第 2 层: 按 transaction_id 幂等
String transactionId = payData.get("transaction_id").asText();
if (paymentRecordRepository.existsByTransactionIdAndStatus(
transactionId, "SUCCESS")) {
log.info("重复通知,已处理: transactionId={}", transactionId);
return "{\"code\":\"SUCCESS\"}"; // 返回成功,让平台停止重试
}
// 第 3 层: 订单状态机幂等
TradeOrder order = orderRepository.findByOrderNumber(outTradeNo);
if (order.getPaymentStatus() == PaymentStatus.PAID) {
log.info("订单已支付,跳过: orderId={}", order.getId());
return "{\"code\":\"SUCCESS\"}";
}
场景: 直接使用回调报文中的金额作为入账依据,未与本地订单金额校验
即使验签通过,也应以本地订单金额为准做一致性校验,防止订单错配或极端情况下的金额不一致。
// ❌ 错误: 直接用回调金额入账
int paidAmount = payData.get("amount").get("total").asInt();
order.setPaidAmount(paidAmount); // 不校验是否与下单金额一致
order.setStatus("PAID");
// ✅ 正确: 回调金额必须与本地订单金额严格一致
int callbackAmountFen = payData.get("amount").get("total").asInt();
int expectedAmountFen = order.getTotalAmount()
.multiply(BigDecimal.valueOf(100)).intValue();
if (callbackAmountFen != expectedAmountFen) {
log.error("金额不一致: callback={}, expected={}, orderId={}",
callbackAmountFen, expectedAmountFen, order.getId());
// 标记异常,不入账
paymentRecord.setReconcileStatus("MISMATCHED");
paymentRecord.setReconcileErrorMessage("金额不一致");
return;
}
场景: 回调链路有完整校验,但"手动对账"链路跳过了部分校验
对账补单和回调处理本质上都是"确认支付成功",如果走不同的校验逻辑,容易在对账链路留下安全缺口。
// ❌ 错误: 回调有完整校验
public void handleCallback(JsonNode payData, TradeOrder order) {
validateAmount(payData, order);
validateMchId(payData, config);
validateAppId(payData, config);
processPayment(order, transactionId);
}
// ❌ 错误: 对账直接补单,跳过校验
public void reconcile(PaymentRecord record) {
JsonNode queryResult = queryWechatOrder(outTradeNo);
if ("SUCCESS".equals(tradeState)) {
processPayment(order, transactionId); // 没有校验金额/商户号
}
}
// ✅ 正确: 抽取统一校验函数,回调和对账都复用
public void validatePaymentResult(
JsonNode payData, TradeOrder order, TenantConfig config) {
// 1. out_trade_no 一致
// 2. transaction_id 非空
// 3. appid 一致
// 4. mchid 一致
// 5. 金额一致
// 任何一项不通过都抛异常
}
// 回调链路
public void handleCallback(JsonNode payData, TradeOrder order, TenantConfig config) {
validatePaymentResult(payData, order, config);
processPayment(order, transactionId);
}
// 对账链路
public void reconcile(PaymentRecord record) {
JsonNode queryResult = queryWechatOrder(outTradeNo);
validatePaymentResult(queryResult, order, config); // 同一套校验
processPayment(order, transactionId);
}
场景: 支付查询、对账等关键逻辑使用占位实现,但未被发现就上线了
// ❌ 错误: 占位实现,返回假数据
private JsonNode queryWechatOrderStatus(PaymentRecord record) {
// TODO: 接入微信支付订单查询 V3 API
log.warn("微信订单查询 API 待实现: orderId={}", record.getOrderId());
return objectMapper.createObjectNode()
.put("trade_state", "NOTPAY")
.put("trade_state_desc", "未支付(占位)");
}
// ✅ 正确: 占位实现必须明确失败,不能返回看似正常的假数据
private JsonNode queryWechatOrderStatus(PaymentRecord record) {
throw new UnsupportedOperationException(
"微信订单查询 API 未实现,请先完成接入");
}
验签与防伪:
防重放:
业务校验:
实现完整性:
> 📋 本回复遵循:`payment-callback-safety` - [章节名]