支付宝异步通知的验签有什么用？

在创建订单时异步通知地址会附在 Payload 中，如果你不验签，别人就在你网站或者APP上面下单，不支付，然后然后直接伪造一个异步通知过来，如果这时候你没有验签，那么你就会正常处理，商品并变成了已支付，但是这个过程中我没有支付1分钱，也就是「白嫖」。

验签的作用就是，在你跟支付宝之间，商定了一个「密钥对」，因为支付宝是用的非对称加密，支付宝使用公钥把发送的数据生成签名后并把签名一起附加到请求中，收到异步通知后，先将数据提出来，签名放到一边，根据签名计算规则用数据计算出签名和支付宝发请求附带的签名进行比较，如果在算法有效的情况下，这两个签名不一样就说明数据被动过手脚，如果有中间人攻击，他修改了数据里面的任何一项，因为他并没有公钥，所以他无法生成出正确的签名，即使他使用旧的签名，但是也因为你的签名计算是通过数据包来计算的，直接就不一样，也就无法验签通过！