# Phase 4：企业微信回调打通（GET 验签 + POST echo）

## 新增内容

- **GET /api/wecom/callback**：使用 `WECOM_TOKEN`、`WECOM_ENCODING_AES_KEY` 验签并解密 `echostr`，将解密结果原样返回。
- **POST /api/wecom/callback**：解析加密 XML，验签、解密、解析消息，文本消息 echo 回复，回复加密后以 XML 返回。
- **加解密**：`app/services/wecom_crypto.py`（SHA1 验签、AES-256-CBC 加解密，与企微文档一致）。

## 验证

1. 在企微管理后台配置回调 URL：`https://你的域名/api/wecom/callback`，填 Token、EncodingAESKey。
2. 保存后企微会发 GET 校验，服务端应返回解密后的 echostr，后台显示「保存成功」。
3. 给应用发一条文本消息，应收到 echo 回复。

## 关键配置

- `WECOM_TOKEN`、`WECOM_ENCODING_AES_KEY` 必须与企微后台一致。
- `WECOM_CORP_ID` 用于回复加密尾部；POST 回复时需正确。