Skip to content

v1.1.1 — TypeScript 类型声明 + 纵深加固 / Types & defense-in-depth

Choose a tag to compare

@wecomgroup wecomgroup released this 25 Jun 13:59

向后兼容的「加固 + 类型补强」版本。11 条标准签名向量逐字节不变,合法请求/回调签名零变化——可安全直接升级。
Backward-compatible hardening & typing release. The 11 standard signing vectors are byte-for-byte unchanged — safe drop-in upgrade.

✨ 新增 / Added

  • Node.js:新增 index.d.ts 完整 TypeScript 类型声明 / full TypeScript type declarations.
  • CI:新增 GitHub Actions 五语言测试向量矩阵 / cross-language test-vector CI matrix.
  • 英文文档 / English docs:README / SIGNING / INTERFACES 及各语言子文档.

🔒 加固(纵深防御)/ Hardening (defense-in-depth)

  • Gononce 生成在 crypto/rand 失败时直接 panic,绝不退化为可预测时间戳(防重放).
  • Node.js:回调 sign 先校验为小写 64 位十六进制再算 HMAC,与其余语言对齐.
  • Python:允许只配代收或只配代付密钥,缺失时调用对应方法才 fail-closed(绝不空密钥签名).
  • 版本号与 User-Agent 统一为单一事实源(不再硬编码 1.0.0).
  • INTERFACES 补全 7 个错误码.

🧰 其他 / Misc

  • release.sh 健壮性修复.

📦 安装 / Install

  • npm: @bebebus/merchant-openapi-sdk@1.1.1
  • PyPI: bebebus-merchant-openapi-sdk==1.1.1
  • Go: github.com/bebebus/SDK/go@v1.1.1
  • Packagist: bebebus/merchant-openapi-sdk

v1.1.0 已包含空密钥回调伪造的 HIGH 安全修复;v1.1.1 在其之上补充类型声明、CI 与纵深加固。
The HIGH empty-key callback-forgery fix already shipped in 1.1.0; 1.1.1 adds types, CI and defense-in-depth.

Full changelog: v1.1.0...v1.1.1