微信公众平台的TOKEN安全验证
2016-06-21 15:40
681 查看
本文目标:学习一种比较安全的服务器间互相验证身份的方式。
问题:开发微信公众平台接口,开发者的服务器为了确保请求是否来自微信服务器,应该如何去做?
1) 在微信管理页面上填写URL和TOKEN,开发者服务器上也记录同样的TOKEN。
2) 微信服务器发送HTTP请求,附带上参数(注意TOKEN是不会被传输的)
参数 描述
其中signature值通过如下摘要运算得出:
3) 开发者服务器接收到signature,timestamp,nonce,echostr参数,跟服务器做同样的摘要运算,得到预期的一个signatrue,然后对比微信服务器发送过来的signature参数,如果相同,证明双方的TOKEN是一致的,开发者服务器确实接收到了来自微信服务器的请求,开发者服务器最后返回echostr,以告诉微信服务器接入成功。具体的开发者服务器校验逻辑代码如下显示。
Java代码
![](http://lazy2009.iteye.com/images/icon_star.png)
package message;
import java.security.*;
import java.util.Arrays;
/***
* 微信消息接口认证token摘要类
*
* 这个摘要类实现为单例,校验一个签名是否合法的例子如下
* <pre>
* WeixinMessageDigest wxDigest = WeixinMessageDigest.getInstance();
* boolean bValid = wxDigest.validate(signature, timestamp, nonce);
* </pre>
*
*
* @author liguocai
*/
public final class WeixinMessageDigest {
/**
* 单例持有类
* @author liguocai
*
*/
private static class SingletonHolder{
static final WeixinMessageDigest INSTANCE = new WeixinMessageDigest();
}
/**
* 获取单例
* @return
*/
public static WeixinMessageDigest getInstance() {
return SingletonHolder.INSTANCE;
}
private MessageDigest digest;
private WeixinMessageDigest() {
try {
digest = MessageDigest.getInstance("SHA-1");
} catch(Exception e) {
throw new InternalError("init MessageDigest error:" + e.getMessage());
}
}
/**
* 将字节数组转换成16进制字符串
* @param b
* @return
*/
private static String byte2hex(byte[] b) {
StringBuilder sbDes = new StringBuilder();
String tmp = null;
for (int i = 0; i < b.length; i++) {
tmp = (Integer.toHexString(b[i] & 0xFF));
if (tmp.length() == 1) {
sbDes.append("0");
}
sbDes.append(tmp);
}
return sbDes.toString();
}
private String encrypt(String strSrc) {
String strDes = null;
byte[] bt = strSrc.getBytes();
digest.update(bt);
strDes = byte2hex(digest.digest());
return strDes;
}
/**
* 校验请求的签名是否合法
*
* 加密/校验流程:
* 1. 将token、timestamp、nonce三个参数进行字典序排序
* 2. 将三个参数字符串拼接成一个字符串进行sha1加密
* 3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信
* @param signature
* @param timestamp
* @param nonce
* @return
*/
public boolean validate(String signature, String timestamp, String nonce){
//1. 将token、timestamp、nonce三个参数进行字典序排序
String token = getToken();
String[] arrTmp = { token, timestamp, nonce };
Arrays.sort(arrTmp);
StringBuffer sb = new StringBuffer();
//2.将三个参数字符串拼接成一个字符串进行sha1加密
for (int i = 0; i < arrTmp.length; i++) {
sb.append(arrTmp[i]);
}
String expectedSignature = encrypt(sb.toString());
//3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信
if(expectedSignature.equals(signature)){
return true;
}
return false;
}
private String getToken(){
return "111111";
}
public static void main(String[] args) {
String signature="f86944503c10e7caefe35d6bc19a67e6e8d0e564";//加密需要验证的签名
String timestamp="1371608072";//时间戳
String nonce="1372170854";//随机数
WeixinMessageDigest wxDigest = WeixinMessageDigest.getInstance();
boolean bValid = wxDigest.validate(signature, timestamp, nonce);
if (bValid) {
System.out.println("token 验证成功!");
}else {
System.out.println("token 验证失败!");
}
}
}
4) 这个摘要对比的技术,同样适用于单点登录、服务期间互相调用的身份验证,前提是每台服务器都持有相同的TOKEN。此外,有些细节可以优化,例如通过timestamp对签名做超时的处理,超时的签名默认不通过;请求的参数可以加上IP, USERID等额外信息;返回的echostr可以再次与TOKEN做摘要,可以使微信服务器确保接受来自开发者服务器的响应,但是微信服务器没有这么做,也许它本身已经做了足够安全控制。
微信消息接口文档:
http://mp.weixin.qq.com/wiki/index.php?title=%E6%B6%88%E6%81%AF%E6%8E%A5%E5%8F%A3%E6%8C%87%E5%8D%97
问题:开发微信公众平台接口,开发者的服务器为了确保请求是否来自微信服务器,应该如何去做?
1) 在微信管理页面上填写URL和TOKEN,开发者服务器上也记录同样的TOKEN。
2) 微信服务器发送HTTP请求,附带上参数(注意TOKEN是不会被传输的)
参数 描述
signature | 微信加密签名 |
timestamp | 时间戳 |
nonce | 随机数 |
echostr | 随机字符串 |
1. 将token、timestamp、nonce三个参数进行字典序排序 2. 将三个参数字符串拼接成一个字符串进行sha1加密(这个加密是不可逆的),并将结果的byte[]转换为16进制字符串
3) 开发者服务器接收到signature,timestamp,nonce,echostr参数,跟服务器做同样的摘要运算,得到预期的一个signatrue,然后对比微信服务器发送过来的signature参数,如果相同,证明双方的TOKEN是一致的,开发者服务器确实接收到了来自微信服务器的请求,开发者服务器最后返回echostr,以告诉微信服务器接入成功。具体的开发者服务器校验逻辑代码如下显示。
Java代码
![](http://lazy2009.iteye.com/images/icon_star.png)
package message;
import java.security.*;
import java.util.Arrays;
/***
* 微信消息接口认证token摘要类
*
* 这个摘要类实现为单例,校验一个签名是否合法的例子如下
* <pre>
* WeixinMessageDigest wxDigest = WeixinMessageDigest.getInstance();
* boolean bValid = wxDigest.validate(signature, timestamp, nonce);
* </pre>
*
*
* @author liguocai
*/
public final class WeixinMessageDigest {
/**
* 单例持有类
* @author liguocai
*
*/
private static class SingletonHolder{
static final WeixinMessageDigest INSTANCE = new WeixinMessageDigest();
}
/**
* 获取单例
* @return
*/
public static WeixinMessageDigest getInstance() {
return SingletonHolder.INSTANCE;
}
private MessageDigest digest;
private WeixinMessageDigest() {
try {
digest = MessageDigest.getInstance("SHA-1");
} catch(Exception e) {
throw new InternalError("init MessageDigest error:" + e.getMessage());
}
}
/**
* 将字节数组转换成16进制字符串
* @param b
* @return
*/
private static String byte2hex(byte[] b) {
StringBuilder sbDes = new StringBuilder();
String tmp = null;
for (int i = 0; i < b.length; i++) {
tmp = (Integer.toHexString(b[i] & 0xFF));
if (tmp.length() == 1) {
sbDes.append("0");
}
sbDes.append(tmp);
}
return sbDes.toString();
}
private String encrypt(String strSrc) {
String strDes = null;
byte[] bt = strSrc.getBytes();
digest.update(bt);
strDes = byte2hex(digest.digest());
return strDes;
}
/**
* 校验请求的签名是否合法
*
* 加密/校验流程:
* 1. 将token、timestamp、nonce三个参数进行字典序排序
* 2. 将三个参数字符串拼接成一个字符串进行sha1加密
* 3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信
* @param signature
* @param timestamp
* @param nonce
* @return
*/
public boolean validate(String signature, String timestamp, String nonce){
//1. 将token、timestamp、nonce三个参数进行字典序排序
String token = getToken();
String[] arrTmp = { token, timestamp, nonce };
Arrays.sort(arrTmp);
StringBuffer sb = new StringBuffer();
//2.将三个参数字符串拼接成一个字符串进行sha1加密
for (int i = 0; i < arrTmp.length; i++) {
sb.append(arrTmp[i]);
}
String expectedSignature = encrypt(sb.toString());
//3. 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信
if(expectedSignature.equals(signature)){
return true;
}
return false;
}
private String getToken(){
return "111111";
}
public static void main(String[] args) {
String signature="f86944503c10e7caefe35d6bc19a67e6e8d0e564";//加密需要验证的签名
String timestamp="1371608072";//时间戳
String nonce="1372170854";//随机数
WeixinMessageDigest wxDigest = WeixinMessageDigest.getInstance();
boolean bValid = wxDigest.validate(signature, timestamp, nonce);
if (bValid) {
System.out.println("token 验证成功!");
}else {
System.out.println("token 验证失败!");
}
}
}
4) 这个摘要对比的技术,同样适用于单点登录、服务期间互相调用的身份验证,前提是每台服务器都持有相同的TOKEN。此外,有些细节可以优化,例如通过timestamp对签名做超时的处理,超时的签名默认不通过;请求的参数可以加上IP, USERID等额外信息;返回的echostr可以再次与TOKEN做摘要,可以使微信服务器确保接受来自开发者服务器的响应,但是微信服务器没有这么做,也许它本身已经做了足够安全控制。
微信消息接口文档:
http://mp.weixin.qq.com/wiki/index.php?title=%E6%B6%88%E6%81%AF%E6%8E%A5%E5%8F%A3%E6%8C%87%E5%8D%97
相关文章推荐
- java微信授权登陆
- 微信功能命令汇总
- 微信语音下载到服务器 上传到七牛转换为mp3
- 解决微信浏览器Javascript无法使用window.location.reload()刷新页面
- java调用微信群发接口
- 《微信生活白皮书》发布微信用户数据
- iOS下微信语音播放之切换听筒和扬声器的方法解决方案
- 接入微信,支付宝,浦发银行的统一支付方案
- 仿微信朋友圈demo
- WordPress WooCommerce支付宝插件破解微信屏蔽,在微信中可用支付宝支付
- 微信开发的本地调试环境搭建
- .NET微信支付(H5仅限公众号支付)
- 数据加密、解密小程序(Enforcing Privacy with Cryptography)
- 微信接口本地调试(IIS服务器)
- iOS微信支付
- Android仿微信图片上传,可以选择多张图片,缩放预览,拍照上传等
- Android学习项目之简易版微信为例(二)
- Android学习项目之简易版微信为例(一)
- 微信网页第三方登录原理
- 微信对接