access_token 分析

最新推荐文章于 2024-05-10 08:30:46 发布
最新推荐文章于 2024-05-10 08:30:46 发布
阅读量6.4k 收藏 5
点赞数 1
分类专栏: token认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fwk19840301/article/details/79539325
版权

微信信的access_token 分析  保留 512 个字符空间

access_token是公众号的全局唯一票据,公众号调用各接口时都需使用access_token。正常情况下access_token有效期为7200秒,重复获取将导致上次获取的access_token失效。

公众号可以使用AppIDAppSecret调用本接口来获取access_tokenAppIDAppSecret可在开发模式中获得(需要已经成为开发者,且帐号没有异常状态)。注意调用所有微信接口时均需使用https协议。

接口调用请求说明

http请求方式: GET

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

参数说明

参数 是否必须 说明

grant_type 是 获取access_token填写client_credential

appid 是 第三方用户唯一凭证

secret 是 第三方用户唯一凭证密钥,既appsecret

返回说明

正常情况下,微信会返回下述JSON数据包给公众号:

{"access_token":"ACCESS_TOKEN","expires_in":7200}​

Token 是一个任意的字符串,你提交 Token 给微信后台之后,只有你和微信后台知道这个字符串是什么,也就是只有微信后台和我们的公众账号服务器知道这个字符串。于是 Token 就成了这两台服务器之间的密钥,它可以让公众账号服务器确认请求是来自微信后台还是恶意的第三方。具体过程如下:
1)微信后台在发送数据给公众账号服务器的时候,会额外带上3 个参数: signaturetimestampnonce。其中 timestamp 是时间戳、nonce 是一个随机数、signature 是对 timestampnonce Token 进行 SHA1 加密后的字符串。SHA1 的加密过程是不可逆的,即不能通过 signaturetimestamp nonce 计算出 Token 是什么。
2)在公众账号服务器收到 timestampnonce signature 之后,同样对 noncetimestamp Token 使用 SHA1 加密算法,得到自己的签名,如果自己的签名和请求中的 signatrue 是一样的,那么说明请求是来自微信后台而不是恶意第三方。

注意 恶意的第三方有可能会截获到微信后台发过来的 signature、timestamp 和 nonce 三个参数,然后直接用这个三个参数来对公众账号服务器发起请求。按照上面的逻辑是无法判断的出这是个恶意的请求。这种攻击称为“replay 攻击”。这种攻击方式的防御方法很简单:加上对 timestamp 的校验。收到请求之后,我们将请求包中的 timestamp 和当前时间比较,如果误差大于一定的值就可以认为这个请求是恶意的。这里不能做相等的比较,因为数据在网络上传输需要时间,同时各个服务的本地时间也是有一些差异的。

 timestamp,当前的时间戳,这个是可以获取的。必须再加个nonce随机字符串去与token排序再SHA1加密与signature比较判断是否来自微信服务器请求。

微服务  位数197

1. POST /api/User/UserToken

参数(采用Body传值方法)

1. {username: "xx", password: "123456"}

返回值

正确

1. {

2.   "data":

3.       {"accesstoken":"xxx"},

4.      "flag":1,

5.      "success":1,

6.      "expired":0

7.  }

错误

1. {

2. flag:1,

3. expired :0,

4. success : 0,

5. err :{

6.          code :"100001",

7.          Msg :"用户名或者密码错误"

8.      }

9. }

javafanwk
关注
专栏目录
Oauth2 已经授权并获取access_token,可是用access_token去访问页面或者api的时候,出现Invaild access_token问题...
12-05 3965
1、首先分析该问题:我们的Token生成完后是存放在Redis里面的,可是在我们通过token去访问的时候,他校验token时不是去Redis中校验的。 所以我们首先是用debug模式去设置断点跟踪校验的token的位置。 由于我们不知道Token校验所在的类,不过我们知道身份授权...
微信小程序报错:invalid credential, access_token is invalid or not latest
热门推荐
夏已微凉、
09-10 2万+
一、问题描述二、小程序接口文档地址三、问题分析1、access_token 过期了2、redis缓存没清空导致 一、问题描述 获取到了 access_token,用 access_token 去生成小程序二维码报错:invalid credential, access_token is invalid or not latest 二、小程序接口文档地址 获取accessToken接口 Access token 的存储与更新 生成微信小程序码接口(永久有效,数量暂无限制) 三、问题分析 1、acce.
获取access_token
09-21
微信官方给出的示例代码有几个方法在本地用不了,经过3天的资料筛查,找到合适方法,分享给大家,前台直接用ajax获取就ok了,可怜了我这个前端程序猿,555
accsstoken设计_微信access_token设计的原理解析
weixin_32374723的博客
01-17 392
1、access_token是加密的字符串,其目的是为了接口安全考虑,不然随便就能调用微信服务器的接口会有很大风险。2、用户在公众号中填写的Token就相当于本项目中的xiaoming,是签名验证中的一个参数,来保证签名的安全3、EncodingAESKey由开发者手动填写或随机生成,将用作消息体加解密密钥4、signature:微信加密签名,signature结合了开发者填写的token参数和请...
web鉴权access_token、AK/SK、session/cookie
最新发布
酌沧
05-10 2392
JWT是一种开放标准(RFC 7519),用于在各方之间作为紧凑的、独立的方式传输声明。JWT 包含HeaderPayload和Signature三部分,通常是自包含的(包含所有的用户信息、权限等)。JWT 主要通过HMAC或RSA进行签名,用于验证 Token 的完整性和合法性。Access Token(访问令牌)通常是一个字符串,作为访问受保护资源的凭证,生成于用户登录后。OAuth 2.0协议广泛使用 access_token 来授权和访问资源。本身可能只是一个标识符,通常由授权服务器签发。
Access Token 机制详解
daobuxinzi的博客
02-09 3154
我们在访问很多大公司的开放 api 的时候,都会发现这些 api 要求传递一个 access token 参数。这个参数是什么呢?需要去哪里获取这个 access token 呢?   access token 是在 Oauth2.0 协议中,客户端访问资源服务器时需要带上的令牌(其实就是一段全局唯一的随机字符串)。拥有这个令牌代表着得到用户的授权。令牌里面包含哪些信息呢?答案是:   哪个用户 在什么时候 授权给哪个app 去做什么事情   当然这些信息是不能直接从 access ...
access_token
qq_39502936的博客
03-31 3431
access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。 公众平台的API调用所需的access_token的使用及生成方式说明: 1、建议公众号开...
如何基于python对接钉钉并获取access_token
12-20
在本文中,我们将深入探讨如何基于Python对接钉钉API并获取access_token,这是一个重要的步骤,因为access_token是与钉钉接口交互的基础。首先,我们需要在钉钉开发者平台注册一个应用,这将为我们提供必要的appkey...
微信公众号获取access_token的方法实例分析
08-25
主要介绍了微信公众号获取access_token的方法,结合实例形式分析了java实现微信公众号获取access_token的相关原理、实现方法及操作注意事项,需要的朋友可以参考下
百度人脸识别-人脸检测(含access_token获取代码)
01-10
在这个代码中,`get_access_token`函数负责获取access_token,`detect_face`函数则使用这个token对指定图片进行人脸检测。检测结果包含人脸的位置、大小等信息,可用于进一步的人脸分析或比对。 在实际开发中,你...
API:access_token
09-19 346
  access_token存在意义:  1、身份验证(一个channel_id一般有0个或1个有效的access_token)   2、限制用户访问服务器数据的有效期   3、限制用户访问权限   access_token执行流程:      总结access_token几个要点:   1、token是在使用方请求服务器后,服务器再生成token并进行返回...
基于AccessToken方式实现API设计
chengyu1769的博客
07-03 1133
基于AccessToken方式实现API设计 说明:这实际类似于Oauth2.0的简化模式 一、举例说明: 需求:   A、B机构需要调用X服务器的接口,那么X服务器就需要提供开放的外网访问接口。 分析:   1...
token是什么
猪肉炖白菜
11-25 536
一、我们先解释一下它的含义: 1、Token的引入:Token是在客户端频繁向服务端请求数据,服务端频繁的去数据库查询用户名和密码并进行对比,判断用户名和密码正确与否,并作出相应提示,在这样的背景下,Token便应运而生。 2、Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token...
通过api获取到淘宝接口的access_token
qq_42081299的博客
08-13 5050
第一步: //获取授权code public function ajaxGetAuth(){ $this->redirect('https://oauth.taobao.com/authorize?response_type=code&client_id=27703326&redirect_uri=http://plugin.heifeng.xin/index.php/Ma...
什么是 Access Token
里查叔叔
09-18 1万+
什么是 Access TokenOpaque Access TokenJWT Access TokenAccess Token 示例 Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,Authing 会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token 中的 scope 字段是否包含特定的权限项目,从而决定是否返回资源。 如果你的用户通过社交
03、获取access_token
amoslm的博客
01-03 776
https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140183 获取access_token access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存(存储进数据库或者缓存中)。access_token的存储至少要保留512个字符空间。access_tok
access_token和openid的用途
07-16
access_token和openid是微信登录过程中的重要信息,具有以下用途: 1 认证凭证:access_token是微信服务器用于验证用户身份的凭证。在用户使用微信登录后,通过调用微信接口,将登录凭证(code)发送给微信服务器,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

javafanwk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值