微信公众号开发:如何实现公众号的token验证和signature校验

最新推荐文章于 2024-09-04 09:32:13 发布
最新推荐文章于 2024-09-04 09:32:13 发布
阅读量2.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bifengmiaozhuan/article/details/103917826
版权

上一篇推文中我们讲述了开发公众号所需要的准备工作,本文讲解如何搭建工程,如何实现账号的接口配置。

一、微信公众号开发环境说明:

开发工具:Eclipse

JDK版本:JDK1.8

Servlet容器:Tomcat8.5

内网穿透工具:NATAPP

本教程基于Servlet来做请求响应,不使用相关框架,旨在说明微信公众号开发的相关流程。

二、微信公众号开发账号接口配置

要进行公众号开发需要登录公众号开启开发模式,配置开发接口。本教程采用测试账号来进行开发,故登录测试账号,配置接口。

首先要配置的就是微信服务请求响应的URL,用来确定本公众号的服务响应来源,另外还要设置一个token字段,此字段内容值可自行定义,当保存配置的时候会把这个token发送到微信平台,然后微信平台会请求此URL调用开发的微信服务,验证服务的可用性和合法性。此URL是使用域名表示的完整路径,如:http://rdzqcm.natappfree.cc/weixinService/weixin。因此,要想配置成功,必然要求我们的服务是开启的,并且有可用的域名可以使用,所以在配置前要先完成下面步骤后进行此项配置。

三、微信公众号基于Token的验证的流程

四、构建微信公众号后台服务工程

1、在Eclipse中新建一个WEB工程,取名:weixinService。

2、新建一个Servlet,用来响应微信服务器发来的请求。取名:weixinServlet。

接口配置的时候,微信服务平台会调用我们配置的URL,并且是以get的方式请求的,所以我们在weixinServlet的doGet()方法中实现上述流程的验证配置过程。

先获取请求传来的相关参数,然后根据参数和配置的token使用写好的hash算法得到hashcode,返回同传来的signature的对比结果。

WeixinServlet的源码如下:

public class WeixinServlet extends HttpServlet{


 private static final long serialVersionUID = 1L;


 @Override
 protected void doGet(HttpServletRequest req, HttpServletResponse resp)
 throws ServletException, IOException {
 //获取微信服务器传来的相关参数
 String signature = req.getParameter("signature");
 String timestamp = req.getParameter("timestamp");
 String nonce = req.getParameter("nonce");
 String echostr = req.getParameter("echostr");
 PrintWriter out = resp.getWriter();
 //调用比对signature的方法,实现对token和传入的参数进行hash算法后的结果比对
 if(CheckSignatureUtil.checkSignature(signature, timestamp, nonce)){
 out.print(echostr);
 } 
 }
}

CheckSignatureUtil的源码如下:

public class CheckSignatureUtil {
  //定义微信接口配置的token,同微信账号页面中配置的token值保持一致
  public static final String token = "bifengmiaozhuan";
  //实现对回传参数的hash,然后同回传参数signature比对
  public static boolean checkSignature(String signature,String timestamp,String nonce){
    ArrayList<String> list = new ArrayList<String>();
    list.add(token);
    list.add(timestamp);
    list.add(nonce);
    //对参数进行升序排列
    Collections.sort(list);
    StringBuilder content = new StringBuilder();
    for(String str:list){
      content.append(str);
    }
    //调用hash算法,对相关参数hash
    return signature.equals(HashUtil.hash(content.toString(),"SHA1"));
  }
}

HashUtil的源码如下:

public class HashUtil {
  //根据指定的hash算法,对传入的内容进行hash
  public static String hash(String content, String algorithm) {
 if (content.isEmpty()) {
 return "";
 }
 MessageDigest hash = null;
 try {
 hash = MessageDigest.getInstance(algorithm);
 byte[] bytes = hash.digest(content.getBytes("UTF-8"));
 String result = "";
 for (byte b : bytes) {
 String temp = Integer.toHexString(b & 0xff);
 if (temp.length() == 1) {
 temp = "0" + temp;
 }
 result += temp;
 }
 return result;
 } catch (NoSuchAlgorithmException e) {
 e.printStackTrace();
 } catch (UnsupportedEncodingException e) {
 e.printStackTrace();
 }
 return "";
 }
}

至此,整个根据token验证微信服务的Servlet程序就开发完毕。

3、配置Servlet

在工程的Web.xml中配置Servlet:

<!-- 配置校验signature的servlet 开始 -->
 <servlet>
   <servlet-name>weixinServlet</servlet-name>
   <servlet-class>weixinService.servlet.WeixinServlet</servlet-class>
 </servlet>
 <servlet-mapping>
   <servlet-name>weixinServlet</servlet-name>
   <url-pattern>/weixin</url-pattern>
 </servlet-mapping>
 <!-- 配置校验signature的servlet 结束 -->

4、启动内网映射工具

进入cmd命令窗口,切换到之前NATAPP安装好的目录下,参考NATAPP使用的相关命令,启动NATAPP,命令:natapp -authtoken=“根据申请时分配的值填写”。启动后如图:

5、配置接口参数并验证

使用NATAPP启动后生成的域名,结合我们工程的路径,配置接口参数并保存,成功后,页面弹出提示信息。

以上我们完成了整个接口参数的配置,在通过验证后,我们就可以调用其开放的响应接口进行进一步开发了。

超哥同学
关注
微信公众号开发系列二:公众号接口配置token验证和工程搭建signature校验
码农超哥的博客
10-24 2767
上文中描述了开发公众号所需要的准备工作,本文讲解如何搭建工程,如何实现账号的接口配置。一、环境说明:开发工具:EclipseJDK版本:JDK1.8Servlet容器:Tomcat8.5内网穿透工具:NATAPP本教程基于Servlet来做请求响应,不使用相关框架,旨在说明微信公众号开发的相关流程。二、账号接口配置要进行公众号开发需要登录公众号开启开发模式,配置开发接口。本教程采用测试账号来进行开...
微信公众号-公众号设置token
weixin_46257277的博客
07-27 872
在使用微信公众号时,需要先将已有的网站与微信服务器做关联;如何做关联? 在调试过程中,我尝试过很多种可能; 1.在微信公众号开发文档中寻找相关解读资料; 2.在CSDN中找类似的问题解决办法; 3.在已有的网站基础上做调试; 基本无果。烦恼搁置了半个月,在昨天终于调试成功;其实比我之前的代码都简单,只是真的需要在微信服务器上多点击几下才行。总的来说,没入门就觉得很难,入了门就觉得so easy。 我把相关的操作截图放在这里,仅供参考。 1.先在自己的网站上,先调试成功,我先设置好的是hello
WebApi安全性 使用TOKEN+签名验证
weixin_30471065的博客
10-18 2449
首先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制),防止请求被恶意攻击 为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。...
公众号开放接口token验证
最新发布
blog.boringhex.top
09-04 1592
填写服务器配置验证服务器地址的有效性依据接口文档实现业务逻辑。
API的 Signature(签名)&Token(令牌) 认证
weixin_34090562的博客
07-04 912
2019独角兽企业重金招聘Python工程师标准>>> ...
各种签名(signature)和校验
liangwenrong的博客
05-22 8699
签名的概念 目的: 为了确认某个信息确实是由某个发送方发送的,或者某个发布内容确实是由发送方发布的,任何人都不可能伪造消息,并且,发送方也不能抵赖。 方法: 对发布的信息内容,通过某种可靠的加工(比如进行MD5运算),生成签名标识(字符串序列或者证书之类) 验证: 任何人拿到发布的信息内容后,可以通过同样的加工,得出签名标识,如果比对和发布者公布的签名一致,则验证为真。 签名与加密区别: 加密是为了不让别人知道原来的信息,签名是为了保证大家获取到的原来的信息是没有经过改动的。 签名算法 1、MD5 对字符
微信公众号自动回复html,[.NET] 简单接入微信公众号开发实现自动回复
weixin_29025501的博客
05-31 730
简单接入微信公众号开发实现自动回复一、前提先申请微信公众号的授权,找到或配置几个关键的信息(开发者ID、开发者密码、IP白名单、令牌和消息加解密密钥等)。二、基本配置信息解读开发者ID:固定的;开发者密码:自己扫一下就可以看到;IP白名单:设置自己配置服务器的地址;服务器地址(URL):稍后详解;令牌:随便写,按规则;消息加解密密钥:随便写,或者随机生成;三、配置服务器地址(URL)服务器地址(...
PHP对接微信公众号开发 token验证
itcont的博客
08-01 1301
当前时间:2020年8月1日11:30:59 1、申请一个公众号(这里省略) 得到一个这样的配置 2、代码编写: // 定义token秘钥常量 define("TOKEN", "weixin_wechat"); // 实例化微信对象 $wechatObj = new wechatCallbackapiTest(); // 调用验证方法valid,当接口连接成功后, // 要注释这个方法,然后调用responseMsg()方法 // $wechatObj->valid(); //第
php 公众号token认证,微信公众号开发——Token认证
weixin_35891142的博客
03-24 793
公众号开发第一步就是绑定TokenToken认证相当于把我们的公众号和服务器关联起来,只有Token认证成功了我们的服务器才能接收到来自公众号的消息。微信官方回调的地址必须能在公网上访问,后端服务的端口要是80。准备Sunny-Ngrok使用Sunny-Ngrok可以让微信官方平台调用你本地的接口,也可以把你本地搭建成服务器。在这里不做过多的介绍。ngrok官网上有详细的教程。Sunny-Ngr...
微信公众号开发 config:invalid signature 此错误 的 解决方法
dijiejing的博客
07-02 1649
按照一下顺序一个问题一个问题排查,肯定能找出来,当时我整这个问题整了好长时间 前提: 检查appId和js接口安全域名配置是否正确 检查IP白名单设置 排查 1.确认签名算法正确,可用http://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=jsapisign 页面工具进行校验。通过测试工具拿到的signature值和用签名算法拿到的值进行比对,如果两者一样,则算法没问题,否则算法有问题。 确认签名用的noncestr和timestamp与wx.config中的nonc
token(令牌)和sign(签名)理解
qq_28846707的博客
11-05 6453
token(令牌)和sign(签名)理解Token:令牌Sign:签名推荐库简介:教程 Token:令牌 用来判断用户身份的一个标识; 用户在登录的时候登录,成功的情况下生成一个token(可以是将用户信息加密,也可以是别的方式),将token返还给客户端,同时将token和用户id和时间戳存入,token表。 用户可以根据token向接口发送请求,接口在接受请求的时候,生成时间戳,验证tokentoken表中是否过期,若过期则让用户重新登录,删除该token,并见新的token和新的时间戳和用户id再
Java写的微信公众号token验证+实现你问我答功能小项目
12-21
Java写的微信公众号token验证+实现你问我答功能小项目
checksignature java_微信公众平台 checkSignature(官方验证消息真实性方法) 导致回复的消息丢失...
weixin_34620658的博客
02-16 1043
[一、简介微信公众平台提供了三种消息回复的格式,即文本回复、音乐回复和图文回复,在这一篇文章中,我们将对这三种消息回复的格式做一下简单讲解,然后封装成函数,以供使用PHP开发微信公众平台, 官方提供的示例代码中的 checkSignature 函数,导致回复的消息经常性的丢失。官方示例代码中的checkSignature函数:private function checkSignature() ...
微信JS-SDK获取signature签名以及config配置(微信转发分享页面需要)
热门推荐
qq_36627509的博客
03-29 4万+
Js代码wx.config({      debug: true, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以在pc端打开,参数信息会通过log打出,仅在pc端时才会打印。      appId: '', // 必填,公众号的唯一标识      timestamp: , // 必填,生成签名的时间戳      nonceStr: '', // 必...
php 微信公众号验证实现代码
Listest的博客
11-05 492
<?php namespace app\index\controller; use think\Controller; use app\index\model\User AS UserModel; class Index extends Controller { public function index() { $this->valid(); } private function checkSignature() { .
微信公众号对接】有关签名一直报错,提示invalid signature问题(我的签名和使用微信开发者工具验证返回的签名的是一致的)但还是报错!!!
九七的博客
06-14 3926
【代码】【微信公众号对接】有关签名一直报错,提示invalid signature问题(我的签名和使用微信开发者工具验证返回的签名的是一致的)但还是报错!!!
关于前端动态调试解密签名校验的分享
weixin_48421613的博客
08-07 499
现在很多项目都进行了签名校验或者是使用例如RSA的方式对传输流量进行加密,那么我们可以通过本地的动态调试获取程序的加密逻辑、加密方法,从而绕过系统的防护对系统进行测试
微信公众号服务器验证Token的完整步骤
开源世界
04-21 7412
服务器验证Token验证分为以下及步骤 一,在微信公众号平台上设置 1.1打开微信公众号平台 1.2打开”开发“中的<基本配置> 1.3点击基本配置页面里的修改配置 1.4输入URL: url填写:http://外网IP:端口号/wx 。外网IP请到腾讯云购买成功处查询, http的端口号固定使用80,不可填写其他。 Token:自主设置,这个token与公众平台wiki中常提的access_token不是一回事。这个token只用于验证开发者服务器。(注:Token可以随便写 写完记住留
微信公众号开发(接口配置信息URL和Token
cheng_zhang_zhong的博客
07-11 1万+
1、因为再微信公众号开发关键字回复的时候需要使用到接口配置信息URL和Token. 刚开始配置的时候总是失败,原因是自己使用花生壳的外网的端口不是80,所以我将外网端口该为了80,后来配置成功。 重点:1、这个一定是使用外网可以访问的url;2、外网端口一定是80的,好像还有一个不过我忘记啦,自己本地的端口可以随便(我的是8080)3、本地地址可以外网访问的话,可以使用花生壳,(是免费的,可以...
Java实现微信公众号:关键字回复与接口校验逻辑详解
- `signature`是微信服务器生成的一个加密签名,它基于开发者填写的`token`(一个密钥)、`timestamp`和`nonce`经过SHA1加密算法生成。开发者需要获取并解析请求中的这些参数,然后按照相同的逻辑进行字典排序后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

超哥同学

赠人玫瑰 手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值