企微机器人回调消息解密出现 invalid buffer size 报错，通常是因为 EncodingAESKey 未经过 Base64 解码直接使用，或密文长度不符合 AES 块大小要求。

快速处理思路

不适合直接使用 shell 命令修复，需调整代码中的加解密逻辑。

1. 检查密钥处理：确保将后台配置的 43 位 EncodingAESKey 进行 Base64 解码，得到 32 字节密钥。

2. 检查密文处理：确保回调参数中的 encrypt 字段先进行 Base64 解码，再传入 AES 解密函数。

3. 检查填充模式：确认 AES 解密后使用了 PKCS7Padding 去填充，而非 PKCS5Padding 或无填充。

为什么会这样

invalid buffer size 报错本质是加密库检测到输入数据长度不符合算法块要求。

企业微信回调消息采用 AES-256-CBC 模式，块大小为 16 字节。如果传入解密函数的密文长度不是 16 的倍数，或者提供的密钥长度不是 32 字节（256 位），底层 crypto 库会抛出 buffer size 错误。多数开发者误将 43 位 Base64 字符串直接当作密钥字节传入，导致密钥长度校验失败。

分步处理

按以下顺序检查代码逻辑，每一步完成后记录日志确认数据形态。

步骤 1：校验密钥长度

读取配置的 EncodingAESKey，执行 Base64 解码操作。检查解码后的字节数组长度是否严格等于 32。如果长度为 43 或其他数值，说明未解码或解码错误。

步骤 2：校验密文长度

获取回调参数 encrypt 字段，执行 Base64 解码。检查解码后的字节数组长度是否能被 16 整除。如果不能整除，说明密文在传输过程中被截断或编码格式错误。

步骤 3：检查解密初始化

初始化 AES Cipher 对象时，明确指定模式为 CBC，填充方式为 PKCS7Padding（部分语言库默认 PKCS5Padding，需确认兼容性）。IV 向量通常取密钥的前 16 字节。

步骤 4：处理去填充

解密得到明文字节数组后，必须执行去填充操作。如果跳过此步骤，明文末尾会包含不可见字符，导致后续 XML 解析失败。

怎么验证是否生效

通过查看应用日志和企微后台响应状态确认修复结果。

1. 日志检查：解密后的明文字段应包含合法的 msg_type 或 event 字段，无乱码。

2. 响应检查：服务器返回 HTTP 状态码 200，且响应体包含加密后的 echostr（验证模式）或成功处理消息。

3. 后台状态：企业微信管理后台无回调失败告警，消息正常收发。

常见坑

以下场景容易引发同类报错，开发时需谨慎处理。

1. 密钥混淆：不要将 Token 字段当作 EncodingAESKey 使用，两者用途不同。

2. 字符集问题：Base64 解码时需确保使用 UTF-8 字符集，避免跨平台编码差异。

3. 库版本差异：不同语言的 crypto 库对 Padding 命名不同，Java 常用 PKCS5Padding 兼容 AES，Python 需手动实现 PKCS7。

4. 截断风险：Web 服务器配置可能限制请求体大小，导致长密文被截断，引发长度校验失败。

常见问题

EncodingAESKey 必须是 43 位吗？

是的，企业微信后台生成的密钥固定为 43 位 Base64 字符串。

解密后乱码怎么办？

通常是密钥错误或未去除 PKCS7Padding 填充，需检查密钥解码和去填充逻辑。

可以用 RSA 解密企微消息吗？

不可以，企微回调消息加密标准强制使用 AES-256-CBC 对称加密。

参考来源

1. 企业微信开发者文档 - 消息加密解密

2. 企业微信开发者文档 - 回调模式配置说明