微信公众平台后台接入简明指南
2016-09-07 22:10
691 查看
from http://blog.csdn.net/flyfish778/article/details/48267729
现在微信越来越火了,公众平台也越来越火,作为一个公司或者网站,没有一个公众号,你都不好意思跟人打招呼,更别提递名片了。
但是,开通了公众平台,靠人工去响应用户消息,不但技术含量不够,而且,人少也忙不过来啊。
幸好微信公众平台有开发模式,只要接入了微信后台,用户消息会被发送到我们指定的服务器上,然后,由服务器向用户回复消息。这种方式,比提示用户“回复1看xxx,回复2看xxx”显得高端大气上档次。
开发模式需要准备网站并且接入微信后台,在微信目前文档不完善,接口不友好的情况下,本文将详细讲解如何快速接入微信公众平台。
首先,你需要有一个微信公众号,比如“中华诗词”。在往下继续阅读前,请自觉掏出手机,打开微信扫一扫:
其次,你需要有一个独立域名的网站,用来和微信服务器交互。
登录微信公众平台后台后,点“功能”-“高级功能”-“开发模式”,进入开发模式,如果公众平台显示“尚未成为开发者”,就点击“成为开发者”:
同意协议后,填写URL和Token:
URL是指微信服务器向哪个URL发送消息,假设我们自己的服务器域名是
而Token是微信服务器和我们自己的服务器通信时验证身份用的,可以随便填写,但要注意保密。
然后点“提交”,一般来说会报错“URL超时”或者“没有正确返回echostr”,因为我们的后台还没有准备好,所以,第一步是接收微信后台发送的验证消息,微信后台会发送一个GET请求到上面的URL,并附带以下参数:
signature,timestamp,nonce,echostr
我们的服务器在接收到上述参数后,需要验证signature是否正确,验证方法是先对timestamp、nonce和token先排序,再拼接成一个字符串,计算出sha1,并和signature对比:
Python:
Java:
注意token不是微信服务器发过来的,而是我们自己写死的一个常量,就是在微信后台填写的Token。
如果计算的sha1和微信传过来的signature相等,说明这个请求确实是微信后台发过来的,如果是别人伪造的请求,由于他不知道token,所以,无法计算出正确的signature。
要防止第三方通过监听发动replay攻击,还需要验证timestamp和nonce,这个以后再讨论。
如果signature计算无误,就把微信后台传过来的echostr原封不动地传回去,这样,就可以通过验证,成为开发者。
在确保开发模式打开的情况下,微信后台会把用户消息发到我们的服务器上,也就是URL:
微信后台发送消息是一个POST请求,但和普通的POST请求不同的是,首先,URL会带上signature、timestamp、nonce这3个参数:
然后,HTTP请求的BODY是一个不规范的XML:
我们自己的服务器只需要处理该XML,然后,向微信返回一个类似如下的XML:
就可以完成消息的回复。微信后台要求必须在5秒内回复,最多重试3次,否则我们自己的回复消息就到达不了用户的手机了。如果我们自己的服务器无法在5秒内回复,就回复一个空字符串,告诉微信服务器,不用重试了,这个消息处理不了,不给用户回复了。
上面的交互逻辑看起来很简单,但实际上坑有很多。
首先,微信服务器发送的POST请求根本就不符合HTTP规范。原则上POST请求不应该在URL上附带参数,但微信后台偏偏要这么干,这就让很多编程语言的标准框架无法获取到POST参数,因为标准的POST参数是从HTTP BODY中解析的。
所以,从POST获取URL参数就需要用到更底层的代码。比如,在Python中,必须通过WSGI的environ字典获取,并且自己来解析:
在Java中,用
然后,我们再讨论如何读取微信后台发过来的XML。在Python中,需要从
在Java中,需要从
如果有乱码,写一个EncodingFilter把Request强制设置为UTF-8编码:
不需要读取为字符串,只要有了流就可以解析XML了,建议用SAX解析,最终我们应该得到微信的XML中传过来的几个值:
根据MsgType我们可以判断消息是文本、语音、图片、位置还是视频,然后,构造一个XML回复给微信后台,如果一切顺利,微信后台就把我们的消息发给用户。
目前我们只讨论如何回复文本消息,只需构造如下的XML:
在回复的XML中,把接收的ToUserName和FromUserName交换,这两个字符串都是用户ID(公众号本身也是一个用户ID),CreateTime是以秒为单位的UNIX时间戳,计算如下:
Python:
Java:
MsgType仍是text,Content就是我们自动回复的消息,注意不要超过600个字符。
回复的时候,需要注意,一是最好明确地设置Content-Type: text/xml,二是XML的编码必须是UTF-8,否则,回复的消息就会出现乱码。
如何创建回复XML?由于该XML结构相当简单,所以无需动用任何XML接口,直接拼接字符串最简单快速。
最后,把代码部署到服务器,记住把接收的参数和XML,以及自己生成的XML在log中打印出来,一边看log,一边用手机端的微信来调试。只要调通了一种接口,其他接口参考微信文档就很容易开发了:
http://mp.weixin.qq.com/wiki/
目前,微信公众平台的API还有很多限制,比如没有每天自动群发消息的API,要回复图文等多媒体消息需要V认证等等。
微信和微信公众平台虽然产品很先进,但后台API设计得确实不咋地。由于API是给开发人员使用的,所以,设计一个好的API要从开发人员的角度出发。与其使用笨重的XML,不如使用更符合Web潮流的JSON。而且,没有必要把验证单独用GET区分,完全可以全部使用POST方式,在JSON中把所有信息全部包括,以action和data来区分消息类型和数据,例如,验证服务器:
发送消息:
回复消息:
这样设计的API,各种编程语言都能处理,而且处理逻辑更简单,速度更快。
RE: http://www.liaoxuefeng.com/article/0013900476318564121d01facf844cba508396f95d9bb82000
现在微信越来越火了,公众平台也越来越火,作为一个公司或者网站,没有一个公众号,你都不好意思跟人打招呼,更别提递名片了。
但是,开通了公众平台,靠人工去响应用户消息,不但技术含量不够,而且,人少也忙不过来啊。
幸好微信公众平台有开发模式,只要接入了微信后台,用户消息会被发送到我们指定的服务器上,然后,由服务器向用户回复消息。这种方式,比提示用户“回复1看xxx,回复2看xxx”显得高端大气上档次。
开发模式需要准备网站并且接入微信后台,在微信目前文档不完善,接口不友好的情况下,本文将详细讲解如何快速接入微信公众平台。
准备工作
首先,你需要有一个微信公众号,比如“中华诗词”。在往下继续阅读前,请自觉掏出手机,打开微信扫一扫:其次,你需要有一个独立域名的网站,用来和微信服务器交互。
接入公众平台
登录微信公众平台后台后,点“功能”-“高级功能”-“开发模式”,进入开发模式,如果公众平台显示“尚未成为开发者”,就点击“成为开发者”:同意协议后,填写URL和Token:
URL是指微信服务器向哪个URL发送消息,假设我们自己的服务器域名是
www.example.com,准备用
/weixin来接收消息,就填写:
http://www.example.com/weixin
而Token是微信服务器和我们自己的服务器通信时验证身份用的,可以随便填写,但要注意保密。
然后点“提交”,一般来说会报错“URL超时”或者“没有正确返回echostr”,因为我们的后台还没有准备好,所以,第一步是接收微信后台发送的验证消息,微信后台会发送一个GET请求到上面的URL,并附带以下参数:
signature,timestamp,nonce,echostr
我们的服务器在接收到上述参数后,需要验证signature是否正确,验证方法是先对timestamp、nonce和token先排序,再拼接成一个字符串,计算出sha1,并和signature对比:
Python:
def check_signature(signature, timestamp, nonce): L = [timestamp, nonce, token] L.sort() s = L[0] + L[1] + L[2] return hashlib.sha1(s).hexdigest() == signature
Java:
public static boolean check_signature(signature, timestamp, nonce) { String[] arr = new String[] { timestamp, nonce, token }; Arrays.sort(arr); String s = arr[0] + arr[1] + arr[2]; md = MessageDigest.getInstance("SHA-1"); byte[] digest = md.digest(s.getBytes("utf-8")); return signature == bytes2HexString(digest);
注意token不是微信服务器发过来的,而是我们自己写死的一个常量,就是在微信后台填写的Token。
如果计算的sha1和微信传过来的signature相等,说明这个请求确实是微信后台发过来的,如果是别人伪造的请求,由于他不知道token,所以,无法计算出正确的signature。
要防止第三方通过监听发动replay攻击,还需要验证timestamp和nonce,这个以后再讨论。
如果signature计算无误,就把微信后台传过来的echostr原封不动地传回去,这样,就可以通过验证,成为开发者。
在确保开发模式打开的情况下,微信后台会把用户消息发到我们的服务器上,也就是URL:
http://www.example.com/weixin:
微信后台发送消息是一个POST请求,但和普通的POST请求不同的是,首先,URL会带上signature、timestamp、nonce这3个参数:
POST http://www.example.com/weixin?signature=xxx×tamp=123456&nonce=123
然后,HTTP请求的BODY是一个不规范的XML:
<xml> <ToUserName><![CDATA[toUser]]></ToUserName> <FromUserName><![CDATA[fromUser]]></FromUserName> <CreateTime>1348831860</CreateTime> <MsgType><![CDATA[text]]></MsgType> <Content><![CDATA[this is a test]]></Content> <MsgId>1234567890123456</MsgId> </xml>
我们自己的服务器只需要处理该XML,然后,向微信返回一个类似如下的XML:
<xml> <ToUserName><![CDATA[toUser]]></ToUserName> <FromUserName><![CDATA[fromUser]]></FromUserName> <CreateTime>12345678</CreateTime> <MsgType><![CDATA[text]]></MsgType> <Content><![CDATA[你好]]></Content> </xml>
就可以完成消息的回复。微信后台要求必须在5秒内回复,最多重试3次,否则我们自己的回复消息就到达不了用户的手机了。如果我们自己的服务器无法在5秒内回复,就回复一个空字符串,告诉微信服务器,不用重试了,这个消息处理不了,不给用户回复了。
上面的交互逻辑看起来很简单,但实际上坑有很多。
首先,微信服务器发送的POST请求根本就不符合HTTP规范。原则上POST请求不应该在URL上附带参数,但微信后台偏偏要这么干,这就让很多编程语言的标准框架无法获取到POST参数,因为标准的POST参数是从HTTP BODY中解析的。
所以,从POST获取URL参数就需要用到更底层的代码。比如,在Python中,必须通过WSGI的environ字典获取,并且自己来解析:
# python: environ = ... qs = environ.get('query_string', '') q = urlparse.parse_qs(qs) signature = q['signature'][0] timestamp = q['timestamp'][0] nonce = q['nonce'][0] # TODO: check signature...
在Java中,用
HttpServletRequest在POST模式下别想用
getParameter()拿到URL参数,必须用
getQueryString()然后自己想办法解析字符串:
// java: String qs = request.getQueryString(); Map<String, String> map = parse(qs); // TODO: check signature...
然后,我们再讨论如何读取微信后台发过来的XML。在Python中,需要从
environ读取原始的
wsgi.input流:
fp = environ['wsgi.input']
在Java中,需要从
HttpServletRequest中获取Reader流:
Reader reader = request.getReader();
如果有乱码,写一个EncodingFilter把Request强制设置为UTF-8编码:
public class EncodingFilter implements Filter { public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { req.setCharacterEncoding("UTF-8"); resp.setCharacterEncoding("UTF-8"); chain.doFilter(req, resp); } public void init(FilterConfig config) throws ServletException {} public void destroy() {} }
不需要读取为字符串,只要有了流就可以解析XML了,建议用SAX解析,最终我们应该得到微信的XML中传过来的几个值:
ToUserName: 'abc' FromUserName: 'xyz' CreateTime: '12345678' MsgType: 'text' Content: '用户发的消息'
根据MsgType我们可以判断消息是文本、语音、图片、位置还是视频,然后,构造一个XML回复给微信后台,如果一切顺利,微信后台就把我们的消息发给用户。
目前我们只讨论如何回复文本消息,只需构造如下的XML:
<xml> <ToUserName><![CDATA[xyz]]></ToUserName> <FromUserName><![CDATA[abc]]></FromUserName> <CreateTime>12345678</CreateTime> <MsgType><![CDATA[text]]></MsgType> <Content><![CDATA[你好]]></Content> </xml>
在回复的XML中,把接收的ToUserName和FromUserName交换,这两个字符串都是用户ID(公众号本身也是一个用户ID),CreateTime是以秒为单位的UNIX时间戳,计算如下:
Python:
CreateTime = int(time.time())
Java:
long CreateTime = System.currentTimeMillis() / 1000;
MsgType仍是text,Content就是我们自动回复的消息,注意不要超过600个字符。
回复的时候,需要注意,一是最好明确地设置Content-Type: text/xml,二是XML的编码必须是UTF-8,否则,回复的消息就会出现乱码。
如何创建回复XML?由于该XML结构相当简单,所以无需动用任何XML接口,直接拼接字符串最简单快速。
最后,把代码部署到服务器,记住把接收的参数和XML,以及自己生成的XML在log中打印出来,一边看log,一边用手机端的微信来调试。只要调通了一种接口,其他接口参考微信文档就很容易开发了:
http://mp.weixin.qq.com/wiki/
限制
目前,微信公众平台的API还有很多限制,比如没有每天自动群发消息的API,要回复图文等多媒体消息需要V认证等等。
思考
微信和微信公众平台虽然产品很先进,但后台API设计得确实不咋地。由于API是给开发人员使用的,所以,设计一个好的API要从开发人员的角度出发。与其使用笨重的XML,不如使用更符合Web潮流的JSON。而且,没有必要把验证单独用GET区分,完全可以全部使用POST方式,在JSON中把所有信息全部包括,以action和data来区分消息类型和数据,例如,验证服务器:{ "signature": "xxx", "timestamp": 123456, "nonce": "xxx", "action": "verify", "data": { "echostr": "echo" } }
发送消息:
{ "signature": "xxx", "timestamp": 123456, "nonce": "xxx", "action": "msg", "data": { "id": "123456", "type": "text", "from": "user-abc", "to": "user-xyz", "create_time": 1234567, "content": "blablabla..." } }
回复消息:
{ "action": "msg", "data": { "type": "text", "from": "user-xyz", "to": "user-abc", "create_time": 1234567, "content": "reply to..." } }
这样设计的API,各种编程语言都能处理,而且处理逻辑更简单,速度更快。
RE: http://www.liaoxuefeng.com/article/0013900476318564121d01facf844cba508396f95d9bb82000
相关文章推荐
- 微信 公众平台开发者文档
- 支付宝,微信支付的流程理解
- 微信公众号开发无法用session保存状态
- Android打开指定程序(微博/微信/人人等)
- 超出指定距离固定导航(微信浏览器页面没有加载完获取控件属性办法)
- Android微信授权登录跟遇到的一些问题
- 微信支付集成第一次调用支付界面成功,以后调不起来支付界面返回-1,等微信支付问题。
- IOS微信中看文章跳转页面后点击返回无效
- 微信分享 "Reference error wx is not defined"错误
- 备忘录模式——论微信撤回
- 微信公众号开发--群发图文消息,消息体包含图片地址
- 微信公众账号开发-发送模板消息
- 微信退款开发 --Java
- Android仿微信页面底部导航效果代码实现
- 小程序---根据数据库反向生成java文件
- 微信支付body中文乱码分享
- 微信开放平台,提示redirect_uri 参数错误
- 微信支付常见问题
- 微信 一键导航
- Java小程序——petshop