bindbox-game/.trae/documents/补充证书路径接入与通知验签方案.md

# 目标
- 使用你已填写的配置，按“config/cert”中的证书路径完成微信支付真实接入：统一下单+小程序签名+通知验签/解密。

# 当前配置状况
- 已存在 `[wechatpay]` 配置段并支持 ENV 覆盖：`mchid/serial_no/private_key_path/api_v3_key/notify_url`（configs/configs.go）。
- 证书路径建议：将商户私钥 `apiclient_key.pem` 放在 `./configs/cert/apiclient_key.pem`，并把 `private_key_path` 配置为该相对路径。

# 具体改造点
- 证书路径接入：
  - 不新增新的配置段，直接使用 `[wechatpay].private_key_path` 指向 `config/cert` 中的私钥路径。
  - 若你希望本地校验平台证书（而非自动下载），增加可选字段：`wechatpay.platform_cert_path` 和 `wechatpay.platform_public_key_id`（可留空）；否则走自动下载。
- 统一下单（JSAPI）按已封装客户端调用：
  - 读取 `private_key_path` → 初始化 `core.Client`（`WithWechatPayAutoAuthCipher`），自动管理平台证书。
  - `jsapi.Prepay` 返回 `prepay_id`，之后用已有 `BuildJSAPIParams` 生成 `wx.requestPayment` 所需参数。
- 支付通知验签与解密：
  - 使用 SDK 的平台证书下载管理器：在通知处理处懒加载 `downloader.MgrInstance().RegisterDownloaderWithPrivateKey(mchid, serial_no, private_key, api_v3_key)`。
  - 用 `notify.NewNotifyHandler(api_v3_key, RSAVerifier(certificateVisitor))` 验签；解密 `resource.ciphertext` 得到 `payments.Transaction`；按 `out_trade_no/success_time` 幂等推进订单。
  - 条件更新：`WHERE status=1` 防并发重复推进；已支付直接 ACK。

# 文件与位置（只改后端）
- 设置路径：在 `configs/*_configs.toml` 的 `[wechatpay]` 写入 `private_key_path = "./configs/cert/apiclient_key.pem"`（你已填写即可）。
- 统一下单：`internal/pkg/pay/client.go` 已使用该路径初始化；无需再改。
- 通知验签：`internal/api/pay/wechat_notify.go` 切换为 SDK 验签/解密实现（现在是占位版），引入 downloader + notify.Handler。

# 验证步骤
- 编译通过：`go build ./...`
- 预下单：调用 `POST /api/app/pay/wechat/jsapi/preorder` 返回小程序参数；`wx.requestPayment` 可正常调起。
- 通知：微信推送或用 SDK 模拟请求，验签成功后订单由待支付→已支付，`paid_at` 为交易成功时间；重复通知幂等。

# 安全与合规
- 私钥路径仅用于服务端签名；不要提交证书文件到仓库。
- 金额单位统一为分；仅信任服务端订单金额。

# 我将执行的改动（收到确认后）
1. 在各环境 `*_configs.toml` 确认/写入 `wechatpay.private_key_path` 指向 `config/cert`。
2. 将通知处理替换为 SDK 验签/解密版本（保留幂等与条件更新）。
3. 增加可选本地平台证书配置支持（如你偏好离线证书验证）。
4. 自测：预下单→支付→通知推进，重复通知幂等校验。