PayPal 的“秘钥信息签名”通常指的是用于 ‌Webhook 事件验证‌ 的签名机制，其目的是确保收到的请求确实来自 PayPal，而非伪造。

根据公开资料，PayPal 的签名验证属于 ‌HMAC-SHA256（Hash-based Message Authentication Code using SHA-256）‌ 类型：

• PayPal 使用 ‌HMAC-SHA256 算法‌ 对 Webhook 请求体进行签名。
• 签名密钥（即 Webhook 密钥）由用户在 PayPal 开发者后台生成并配置。
• 验证时，接收方需使用相同的密钥对收到的请求体重新计算 HMAC-SHA256 哈希值，并与请求头中的 PayPal-Signature 进行比对 ‌5。

关键要点

• ‌签名类型‌：HMAC-SHA256
• ‌用途‌：验证 Webhook 请求的真实性与完整性
• ‌密钥来源‌：在 PayPal 开发者平台 的 Webhook 设置中获取
• ‌验证流程‌：
  1. 接收 Webhook 请求；
  2. 从请求头中提取 PayPal-Signature；
  3. 使用本地存储的 Webhook 密钥对请求体（原始 JSON 字符串）进行 HMAC-SHA256 计算；
  4. 比较计算结果与请求头中的签名是否一致。

⚠️ 注意：此“秘钥”与用于登录的“通行密钥（Passkey）”完全不同。后者是基于 FIDO2/WebAuthn 的生物识别或设备密码认证方式，不涉及签名算法 ‌