关于微信签名权限验证
作者:互联网
前言
前端在使用任何微信接口前,都必须先进行微信config的权限注入,如下:
wx.config({
debug: true, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以在pc端打开,参数信息会通过log打出,仅在pc端时才会打印。
appId: '', // 必填,公众号的唯一标识
timestamp: , // 必填,生成签名的时间戳
nonceStr: '', // 必填,生成签名的随机串
signature: '',// 必填,签名
jsApiList: [] // 必填,需要使用的JS接口列表
});
其中三个参数timestamp(时间戳)、nonceStr(随机字符串)、signature(签名),建议通过后端接口传递给前端,而signature依赖于前两个参数生成,本文将引用官方文档,详细介绍生成signature的方法和注意事项
正篇
1.不得不了解的jsapi_ticket
在生成签名之前
jsapi_ticket是公众号用于调用微信JS接口的临时票据,正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取(token的获取方法后面会介绍)。
Tip:由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,所以建议开发者在自己的服务全局缓存jsapi_ticket 。
1.获取access_token,详情见后文(有效期7200秒,开发者必须在自己的服务全局缓存access_token)
2.用第一步拿到的access_token 采用http GET方式请求以下接口,获得jsapi_ticket(有效期7200秒,开发者必须在自己的服务全局缓存jsapi_ticket):
https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=ACCESS_TOKEN&type=jsapi
成功返回如下JSON:
{
"errcode": 0,
"errmsg": "ok",
// ticket字段就是我们需要的 jsapi_ticket
"ticket": "bxLdikRXVbTPdHSM05e5u5sUoXNKd8-41ZO3MhKoyN5OfkWITDGgnr2fwJ0m9E8NYzWKVZvdVtaUgWvsdshFKA",
"expires_in": 7200
}
获得jsapi_ticket之后,就可以生成JS-SDK权限验证的签名了。
2.签名算法
签名生成规则如下:参与签名的字段包括
jsapi_ticket、noncestr(随机字符串)、timestamp(时间戳),、url(当前网页的URL,不包含#及其后面部分) 。
Tip:所有参数名均为小写字符,字段名和字段值都采用原始值,不进行URL 转义。
示例参数:
jsapi_ticket = "sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg";
noncestr = "Wm3WZYTPz0wzccnW";
timestamp = 1414587457;
url = "http://mp.weixin.qq.com?params=value";
步骤1
将这几个参数按照字段名的ASCII 码从小到大排序后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串originSignature:
originSignature = "jsapi_ticket=" + jsapi_ticket +
"&noncestr=" + noncestr +
"×tamp=" + timestamp +
"&url=" + url;
// "jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg&noncestr=Wm3WZYTPz0wzccnW×tamp=1414587457&url=http://mp.weixin.qq.com?params=value"
步骤2
对originSignature 进行sha1签名,得到signatur:
signature = sha1(originSignature); // "0f9de62fce790f9a083d5c99e95740ceb90c27ed"
注意事项
1.签名用的noncestr和timestamp必须与wx.config中的nonceStr和timestamp相同。
2.签名用的url必须是调用JS接口页面的完整URL。
3.出于安全考虑,开发者必须在服务器端实现签名的逻辑。
如出现invalid signature 等错误详见微信官方JDK说明文档,附录5:
https://mp.weixin.qq.com/wiki?action=doc&id=mp1421141115&t=0.5371625224048855#66
标签:微信,jsapi,token,签名,timestamp,ticket,权限,noncestr 来源: https://blog.csdn.net/qq_40654664/article/details/90291509