微信公众号JS安全域方式下利用JAVA实现鉴权

于 2024-11-11 17:25:50 发布
阅读量620 收藏 10
点赞数 4
分类专栏: Java 文章标签: 微信 javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AikesLs/article/details/143689754
版权

一、背景

产品需求要给微信公众号挂载外部链接,实现移动端相关功能,其中涉及定位等用户隐私需要微信公众号进行授权。

整体流程不涉及微信回调,所以仅配置JS安全域实现微信公众号跳转到外部链接,剩余鉴权流程由后端服务进行处理。

需要注意:

1、微信公众号挂载外部链接需要通过企业认证

2、测试公众号可使用IP:PORT配置JS安全域,正式公众号必须使用域名+443或80端口

3、后端服务鉴权需要匹配前端页面地址,即JS安全域所配置的根域名,例如根域名:http://test.aikes.com,JS安全域配置为:test.aikes.com。

测试公众号时可配置内网环境,例如页面访问地址为:http://192.168.2.163:8085,JS安全域配置为:192.168.2.163:8085

二、鉴权逻辑

前端调用定位等微信官方API需要先实现权限配置,必填的四个参数需要后端返回(appid,时间戳、随机串、签名)

后端代码中将微信公众号app_id和app_secret配置在配置文件中,前端页面路径需要作为参数传入,具体代码逻辑如下:

package com.aikes.mdap.util;

import com.alibaba.fastjson.JSON;
import com.aikes.mdap.pub.exception.BusinessException;
import com.aikes.mdap.util.pojo.TokenView;
import com.aikes.mdap.util.pojo.WechatSignatureView;
import com.aikes.mdap.util.pojo.WechatView;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;

import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.security.MessageDigest;
import java.util.Date;

/**
 * 微信鉴权
 */
@Slf4j
@Component
public class WechatUtils {

    @Autowired
    private WechatView mWechatView;

    private TokenView mTokenView = new TokenView();

    private static final String string = "abcdefghijklmnopqrstuvwxyz";

    private void getToken() {
        if (mTokenView != null && mTokenView.getExpires_in() != null && mTokenView.getExpires_in() > 60
                && StringUtils.isNotBlank(mTokenView.getTicket())) {
            log.info("获取到已存在的Token:" + JSON.toJSONString(mTokenView));
            return;
        }
        try {
            String access_tokenResult = HutoolHttpUtil.sendRequest(HutoolHttpUtil.GET, mWechatView.getUrl() + "/cgi-bin/token?grant_type=client_credential&appid=" + mWechatView.getApp_id() + "&secret=" + mWechatView.getApp_secret(), null);
            //{"access_token":"Rd8SiZEaW2SRSZKFVxsh_ZS1adNwWP7zRAGG44HFA9lSNQbxOS-2hySxsJKKzUfEqkTJUsN9l_25po9qtoSJUCquad9C-KBh5vFLWdheL4omiICDMsTXBMIho271Cz-qMHAgADAVQJ","expires_in":7200}
            mTokenView = JSONProcessUtil.parseJsonObject(access_tokenResult, TokenView.class);
            //######2 使用access_token获取jsapi_ticket
            //https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=ACCESS_TOKEN&type=jsapi
            String jsapi_ticketResult = HutoolHttpUtil.sendRequest(HutoolHttpUtil.GET, mWechatView.getUrl() + "/cgi-bin/ticket/getticket?access_token=" + mTokenView.getAccess_token() + "&type=jsapi", null);
            //{"errcode":0,"errmsg":"ok","ticket":"kgt8ON7yVITDhtdwci0qefyIxUzYwFqAaiwhEj1TfdJZcuWSLVXoVHUC7V0qEq-tgWJ0OtvFCU5pzpOHylkW-Q","expires_in":7200}
            mTokenView = JSONProcessUtil.parseJsonObject(jsapi_ticketResult, TokenView.class);
            if(mTokenView == null || StringUtils.isBlank(mTokenView.getTicket())) throw new BusinessException("微信签名获取失败!");

            Thread separateThread = new Thread(() -> {
                while (true) {
                    mTokenView.setExpires_in(mTokenView.getExpires_in() - 1);
                    if(mTokenView.getExpires_in()<0) break;
                    try {
                        Thread.sleep(1000);
                    } catch (InterruptedException e) {
                        throw new RuntimeException(e);
                    }
                }
            });
            separateThread.start();
        } catch (Exception e) {
            mTokenView = null;
            log.error("获取Token失败:" + e.getMessage(), e);
        }
    }

    public WechatSignatureView dealSinature(String cAccessUrl) {
        log.info("cAccessUrl:" + cAccessUrl);
        this.getToken();
        //######3 签名算法
        //签名生成规则如下:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的URL,不包含#及其后面部分) 。
        //对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1。
        //这里需要注意的是所有参数名均为小写字符。对string1作sha1加密,字段名和字段值都采用原始值,不进行URL 转义。
        String nonceStr = getRandomString();
        long timestamp = new Date().getTime() / 1000;
        try {
            cAccessUrl = URLDecoder.decode(cAccessUrl.trim(), "UTF-8");
        } catch (UnsupportedEncodingException e) {
            throw new RuntimeException(e);
        }
        if(StringUtils.isBlank(mTokenView.getTicket())) throw new BusinessException("未获取到加密所需参数");
        String tStr = "jsapi_ticket=" + mTokenView.getTicket() + "&noncestr=" + nonceStr + "&timestamp=" + timestamp + "&url=" + cAccessUrl;
        log.info("加密前字符:" + tStr);
        String signature = getSha1(tStr);
        log.info("加密后字符:" + signature);
//		  appId: obj.appId, // 必填,公众号的唯一标识
//        timestamp: obj.timestamp, // 必填,生成签名的时间戳
//        nonceStr: obj.nonceStr, // 必填,生成签名的随机串
//        signature: obj.signature,// 必填,签名,见附录1
        return new WechatSignatureView(mWechatView.getApp_id(), String.valueOf(timestamp), nonceStr, signature);
    }

    private static int getRandom(int count) {
        return (int) Math.round(Math.random() * (count));
    }

    private static String getRandomString() {
        StringBuilder sb = new StringBuilder();
        int len = string.length();
        for (int i = 0; i < 20; i++) {
            sb.append(string.charAt(getRandom(len - 1)));
        }
        return sb.toString();
    }

    private static String getSha1(String str) {
        if (null == str || 0 == str.length()) {
            return null;
        }
        char[] hexDigits = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9',
                'a', 'b', 'c', 'd', 'e', 'f'};
        try {
            MessageDigest mdTemp = MessageDigest.getInstance("SHA1");
            mdTemp.update(str.getBytes("UTF-8"));

            byte[] md = mdTemp.digest();
            int j = md.length;
            char[] buf = new char[j * 2];
            int k = 0;
            for (int i = 0; i < j; i++) {
                byte byte0 = md[i];
                buf[k++] = hexDigits[byte0 >>> 4 & 0xf];
                buf[k++] = hexDigits[byte0 & 0xf];
            }
            return new String(buf);
        } catch (Exception e) {
            e.printStackTrace();
        }
        return "";
    }
}

通过调用dealSinature方法,进而实现Token获取、ticket获取等逻辑,根据传入的地址计算出最终的签名值,以下是调用方法:

JSON.toJSONString(mWechatUtils.dealSinature("http://192.168.2.36:8099/aikes/index.html"))

返回参数为:

{"appId":"xxxxx","nonceStr":"pebypblkfivfoglinqjj","signature":"5ff426db8e5a62bb2510f6ab9fb7bbbb637b4427","timestamp":"1730889458"}

根据返回参数前端再进行拼接调用即可,至此整个鉴权获取结束

PS:获取Token中增加了线程控制过期时间,防止频繁调用获取Token的接口

三、小结

微信公众号挂载外部链接整体流程还是比较繁琐,需要各方查阅资料才能捋清,特此记录一哈

【前端知识梳理】HTML篇 笔记整理(一)
超逸の学习技术博客
03-28 1713
写在开头 大家好,这里是lionLoveVue,基础知识决定了编程思维,学如逆水行舟,不进则退。金三银四,为了面试也还在慢慢积累知识,Github上面可以直接查看所有前端知识点梳理,github传送门,觉得不错,点个Star★,持续更新中。另外,也可以关注微信公众号:小狮子前端Vue,源码以及资料今后都会放在里面。 一直想着成为一个up主,正值时间挺多的,4月份左右面试的面经我会制作视频去分...
springboot校园失物招领平台-计算机毕业设计源码53687
vx_Biye_Design的博客
08-05 992
摘要 本论文针对校园失物招领平台的设计与实现进行了研究。首先介绍了当前校园失物招领存在的问题,包括信息交流不便、失主难以找到等。然后提出了基于UniApp的校园失物招领平台的设计方案,UniApp作为跨平台开发工具,能够实现在多个操作系统下的应用部署,提高了平台的可访问性。接着阐述了平台的功能模块设计,包括失物发布、失物招领信息展示、失主认领等功能,以及用户界面设计和交互流程。在实现过程中,充分利用UniApp提供的组件和插件,实现了平台的基本功能,并对用户体验进行了优化。
微信公众号后台 添加 JS安全域名 提示:无法访问xxx指向的web服务器(或虚拟主机)的目录,请检查网络设置
最新发布
immense的博客
10-30 430
使用https://cloud.tencent.com/product/tools#userDefined12 检查网页配置。我的是A记录没有配置正确。
微信公众平台,页面授 java-后端
JAVA000011的博客
02-07 568
微信公众平台,页面授 java-后端 第一次发表所以有什么错误的地方请留言,我改正,我也是在论坛上看到并学习的,秉着学会了就要反馈的想法,就发表了这个帖子, 开发之前先看几遍微信开发文档.里面写的很清楚了,基本按照上面的步骤就行了,修改的就是自己的Util 就行和实际的代码业务. 微信开发文档:微信开发文档 微信平台注册测试账号,获取测试号 链接:[https://mp.weixin.qq.com/debug/cgi-bin/sandboxinfo?action=showinfo&t=sandbo
微信公众号网页授域名JS接口安全域名配置攻略
极客星云-CSDN博客
06-09 3万+
这篇博文跟大家分享下如何配置微信公众号网页授域名JS接口安全域名配置。
微信公众号JS安全域名设置
码农搬砖盖大楼
04-16 2016
微信公众号JS安全域名设置配置文件 微信公众号中设置JS安全域名时,会生成一个txt文件: 类似 MP_verify_***.txt 的格式,我们需要将此文件,放到域名访问的根目录下才行。 配置文件 使用 tomcat 运行 war 包,使用 ROOT 设置 可将文件MP_verify_***.txt放入$TOMCAT_HOME/webapps/ROOT/ 中 因为安全等原因,我们使用tomc...
微信 公众号 JS接口安全域名 是啥 什么意思
热门推荐
solocao的专栏
09-16 3万+
微信开发时,需要点击【公众号设置】→【功能设置】→【JS接口安全域名】填写自己的访问域名。 因为微信安全做得比较好,我们根据 微信 js sdk写的函数、方法,只有在指定的安全域名下才能被微信唤起。 注意:设置完安全域后,还要能保证此域名下能访问微信提供的txt文件...
微信公众号JS安全域名的理解
程序员创业中
09-03 4092
问题描述:前端项目,做了自定义分享内容配置,并部署到A域名下,然后公众号后台配置了JS接口安全域名和授回调页面域名两项都为A,然后测试分享和网页授都是正常的,其实这个时候并未深刻理解到两者的区别及作用。 问题出现:由于需求原因,需要将改项目改部署到B域名下,然后习惯性的将授回调页面域名也改为B,授回调正常,但分享配置不生效。 原因剖析:前端配置分享,需要后端获取签名,后端获取签名的前提,是微信判断该项目是在JS接口安全域名下请求的,才会正常返回签名,从而正常配置。一开始以为JS接口安全域名配置的
突破微信二次分享JS接口安全域名限制5个的方法
mingxuanju的博客
04-08 570
由于需要二次分享的网站涉及多个二级子域名,但是微信公众号后台只能提供5个域名,并且尝试过填写根域名abc.com,但是实际并不能使*.abc.com这种子域名生效。通过一个代理域名转发的方式实现
微信公众平台—用户管理(获取用户基本信息)
炫炫的博客
12-07 7165
play 框架中的使用网页授获取用户基本信息 如果用户在微信客户端中访问第三方网页,公众号可以通过微信网页授机制,来获取用户基本信息,进而实现业务逻辑 关于网页授回调域名的说明 1、在微信公众号请求用户网页授之前,开发者需要先到公众平台官网中的开发者中心页配置授回调域名。请注意,这里填写的是域名(是一个字符串),而不是URL,因此请勿加http://等协议头; 2、授回调域名配置规范为
使用微信JS-SDK实现网页授登录
网页授登录是微信提供给第三方开发者的一种登录方式,允许第三方应用借助微信的用户基础实现用户的快速登录。网页授登录可以灵活运用于多种场景,比如: - 用户登录:用户可以通过微信直接登录第三方网站,无需...
java面试看这一篇就够了
H_Jason_的博客
09-20 1155
java面试技术话术
微信公众号项目前端的安全域添加
小耳朵晨晨
03-13 273
项目的根目录放安全域的文件,(不添加这个项目在input编辑时会微信会提示,遮挡住页面) 在公众号中设置域名
微信公众号-JS接口安全域名-配置域名保存失败
lmy_loveF的博客
09-13 755
微信公众号-JS接口安全域名-配置域名
微信公众号网页-Oauth2
_cheny
06-27 6529
微信公众号网页   记录一下最近做的项目-微信公众号开发。在微信公众号内访问内嵌的第三方网页,需要用到openid或者其他基本信息比如头像等,就不得不进行操作。   首先来看下oauth2的处理流程    1.得到授码code     2.根据code获取accesstoken     3.根据accesstoken获取openId以及其他信息 参照微信公众号网页授官方文档 http...
三 、微信公众号 被动操作
珈蓝的博客
09-10 1053
被动操作其实是微信在校验服务器真实性的一个行为,微信通过你在微信公众平台设置的参数和地址来请访问你的服务器,通过校验加密数据确认安全性。 配置url的时候微信会进行,包括后期的微信会定时来和一些行为 触发的时候他也会来调用接口 url是你的接口访问地址,用来的接口地址 token是你的密钥, 消息密钥暂时不做介绍, 加密方式采用明文模式,即可 public stat...
微信之旅——js安全域名接口
李晓娜
02-29 3997
微信公众平台js接口安全域名是什么?这里设置安全域名,目的是为了当发现此公众平台发现诱导分享行为时,可以根据此域名追溯到所有分享出去的链接,以及通过这些链接增加的粉丝。这样,微信就可以牢牢控制了你的微信平台,一旦发现违规,让分享链接失效,删除掉诱导行为增加的粉丝,是瞬间就可以完成的。因此,微信平台的开发者,一定要合理来使用分享功能,不要因小失大。等到你的微信平台被封,估计哭都来不及。   为什么
微信公众号全局返回码
Jason_WangYing的博客
08-22 576
公众号每次调用接口时,可能获得正确或错误的返回码,开发者可以根据返回码信息调试接口,排查错误。官方地址:https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Global_Return_Code.html 全局返回码说明如下: 返回码 说明 -1 系统繁忙,此时请开发者稍候再试 0 请求成功 40001 获取 access_token 时 AppSecret 错误,或者 access_toke
微信公众号JS接口域名在哪里找?
qq_39273455的博客
12-11 1326
https://jingyan.baidu.com/article/ed2a5d1f90877009f6be17f3.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Aikes902

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值