企业微信获取第三方应用凭证

已于 2023-11-23 09:39:07 修改
阅读量1.9k 收藏 1
点赞数 1
分类专栏: 微信 文章标签: 企业微信 后端
于 2023-11-16 18:34:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/json_ligege/article/details/134448053
版权
本文详细介绍了如何在企业微信中配置第三方应用,涉及小程序应用设置、可信域名配置、回调URL、suite_ticket和suite_access_token获取,以及企业可信IP的设置,以确保正确授权和API访问。
摘要由CSDN通过智能技术生成

上一篇介绍了如何配置通用开发参数及通过url回调验证,

本篇将通过服务商后台配置关联小程序应用配置和获取第三方凭证及如何配置企业可信IP。

当然上篇配置的回调设置也不会白费,在下方的指令和数据回调会用到。

第三方应用开发流程

官方企业微信第三方应用开发的基本流程如下:

小程序应用设置

获取suite_ticket需要使用SuiteID参数,因为项目使用的是三方应用方式开发,

这里可以通过设置小程序->关联小程序详情。

前面的配置基础信息与应用权限不在介绍,比较简单。

配置内容描述

应用主页:必填,用户从企业微信工作台进入应用时将直接跳转到对应主页URL

桌面端独立主页:用户从企业微信桌面端工作台进入应用时跳转的应用页面URL

可信域名:仅支持可信域名内的应用调用OAuth2授权、JSSDK等

安装完成回调域名:用户安装成功后可指定跳转至该域名的链接

业务设置URL:授权企业的管理员可从企业微信后台的应用详情页免登录直接跳转该链接进行应用配置。

数据回调URL:必填,用于正确响应企业微信验证URL的请求,用于接收托管企业微信应用的用户信息、进入应用事件、通讯录变更事件。

指令回调URL:必填,用户正确响应企业微信验证URL的请求,用于接收应用(添加、删除、修改)以及ticket参数等API请求。

Secret是可以生成和改变的,SuiteID是系统生成的。

配置可信域名

配置可信域名:先填写网站域名,不要写http或者https前缀,直接是网站域名。

如下:

具体怎么验证可信域名呢,接着点击检验可信域名归属:

需要把这个文件下载后,上传到网站域名下,并且可以访问到;

放好之后,如果验证不成功,可能有缓存,等待几分钟在尝试。

设置回调配置

这几项就关于回调的参数, 之前配置过url/token/encodingAESKey直接再粘贴过来即可。

指令回调和数据回调地址可以写上篇完成的回调地址,只是要注意现在的token和EncodingAESKey换成之前调好的token和EncodingAESKey和字符串就行或者也可以把代码中的这两项换成现在新生成的。

这些可以分步配置,最后保存完成后,效果如下图:

如果暂时不知道设置项是什么作用,可以先配置一个,之后用上了再改即可。

获取ticket

设置好应用参数后,把suiteID、secret粘贴一下,在代码中要使用。

控制器接收参数

这里因为一开始不确定参数情况,所以对接收的所有参数存储到日志中。

首先判断请求方式为post,然后具体进入接收数据环节。

经过多次调试后确定需要接收四个参数内容,其中msg_signature/timestamp/nonce三个可直接通过字段名获取到,比较麻烦的是密文数据,需要使用php://input获取。

内容是一个xml格式的字符串。

内容如下:

public function wxNotify()
{
    $obj = new CompanyWxPushService();
    $all = request()->all();
    writeRecordLog('companyWechat.log', request()->method());
    writeRecordLog('companyWechat.log', var_export($all, true));
    if (request()->isMethod('POST')) {
        $msg_signature = request()->input('msg_signature');
        $timeStamp = request()->input('timestamp');
        $nonce = request()->input('nonce');
        // post请求的密文数据
        $sReqData = file_get_contents('php://input');
        echo $obj->callbackPOST($msg_signature, $timeStamp, $nonce, $sReqData);
    }  die();
}

业务层解析

下面的处理中思路是:收到post请求之后

1.解析出url上的参数,包括消息体签名(msg_signature),时间戳(timestamp)以及随机数字串(nonce);

2.验证消息体签名的正确性。

3.将post请求的数据进行xml解析,并将<Encrypt>标签的内容进行解密,

解密出来的明文是xml格式的字符串需要转变为xml对象。

4.判断对象的infotype获取suite_ticket并进行存储,之后调用access_token需要使用。

内容如下:

class CompanyWxPushService
{
    //  接收信息时的加解密参数
    protected static $encodingAesKey = "随机生成的encodingAESKey";

    // 接收信息时的校验Token
    protected static $token = "随机生成的token";

    protected static $corpId = "服务商注册后获取的corpID";


    protected static $SuiteID = '小程序应用详情获取的suiteID';

    protected static $Secret = '小程序应用详情获取的secret';

    /**
     * 企业微信post回调解析
     * @param $sReqMsgSig
     * @param $sReqTimeStamp
     * @param $sReqNonce
     * @param $sReqData
     * @return string
     */
    public function callbackPOST($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData)
    {
        $sMsg = "";  // 解析之后的明文
        $wxcpt = new \WXBizMsgCrypt(self::$token, self::$encodingAesKey, self::$SuiteID);
        $errCode = $wxcpt->DecryptMsg($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData, $sMsg);
        writeRecordLog('companyWechat.log', $errCode);
        if ($errCode == 0) {
            // 解密成功,sMsg即为xml格式的明文
            writeRecordLog('companyWechat.log', "解密成功:\r\n". var_export($sMsg, true));
            // TODO: 对明文的处理
            // 解析该xml字符串,利用simpleXML
            libxml_disable_entity_loader(true);
            //禁止xml实体解析,防止xml注入
            $xml = simplexml_load_string($sMsg, 'SimpleXMLElement', LIBXML_NOCDATA);
            switch ($xml->InfoType) {
                case 'suite_ticket': // 存储suite_ticket
                    $log_desc = '存储suite_ticket:' . $xml->SuiteTicket;
		  self::$redisWechat->setCompanyTicket($xml->SuiteTicket);
                    break;
                default:
                    $log_desc = '未知的类型:' . $xml->InfoType;
                    break;
            }
            writeRecordLog('companyWechat.log', '解析日志:' . $log_desc);
            return 'success';
        } else {
            return "ERR: " . $errCode . "\n\n";
        }
    }
}

获取ticket

企业微信服务器会定时(每十分钟)向指令回调 URL 推送 suite_ticket,在指令回调的后台逻辑中解密消息体即可得到对应的 InfoType 和 SuiteTicket 。

不同类型的指令回调会通过不同的 InfoType 进行区分,在每次解密得到 suite_ticket 后,应在服务端临时缓存起来。

也可通过刷新ticket按钮来多次快速获取验证解析。

日志情况如下:

获取第三方凭证

获取suite_access_token即为获取第三方凭证,这个在整个开发中很重要,接下来的几个接口都需要三方凭证;在成功接受并且缓存 suite_ticket 之后,我们可以主动来获取 suite_access_token。获取suite_access_token时,需要 suite_id,suite_secret suite_ticket 作为参数。

请求方式

POST

请求地址

https://qyapi.weixin.qq.com/cgi-bin/service/get_suite_token

参数说明

参数

是否必须

说明

suite_id

第三方应用id或者代开发应用模板id。第三方应用以ww或wx开头应用id(对应于旧的以tj开头的套件id);代开发应用以dk开头

suite_secret

第三方应用secret 或者代开发应用模板secret

suite_ticket

企业微信后台推送的ticket,即回调中获取的ticket

控制器

暂时先写一个请求,看一下返回内容。

/**
 * 获取企业微信 suite_access_token
 */
public function companyAccessToken()
{
    $obj = new CompanyWxPushService();
    print_r($obj->companyAccessToken());die;
}

业务层处理

需要三方应用SuiteID和Secret参数和之前回调返回中解密后获取的suite_ticket。

Suite_ticket这一步是通过回调获取的suite_ticket内容,设置的redis缓存。

/**
 * 获取企业微信 suite_access_token
 * @return bool|string
 */
public function companyAccessToken()
{
    $url = "https://qyapi.weixin.qq.com/cgi-bin/service/get_suite_token";
    $params = [
        'suite_id' => self::$SuiteID,
        'suite_secret' => self::$Secret,
        'suite_ticket' => self::$redisWechat->getCompanyTicket()
    ];
    return $this->linkCurl($url, 'POST', $params);
}

/**
 * 请求接口返回内容
 * @param $url : 请求的URL地址
 * @param $method : 请求方式POST|GET
 * @param bool $params : 请求的参数
 * @return bool|string
 */
protected function linkCurl($url, $method, $params = false)
{
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_CUSTOMREQUEST, $method);
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_FAILONERROR, false);
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    if (strpos("$" . $url, "https://") == 1) {
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
        curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
    }
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 60);
    curl_setopt($ch, CURLOPT_TIMEOUT, 60);
    if ($method == "POST") {
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json($params));
    } else if ($params) {
        curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($params));
    }
    $response = curl_exec($ch);
    if ($response === FALSE) return false;

    curl_close($ch);
    return $response;
}

响应:

{"errcode":60020,"errmsg":"not allow to access from your ip:client ip 123......."}

怀疑是没注册应用和配置企业可信ip。

响应60020是未设置IP白名单,可查看下方第三方应用企业可信IP设置。

设置后,再次请求返回正常。

{"suite_access_token":"tpBubbmIlo_N5zoCKXvz_9q6IanamtrZMB2rBI_Mnh48m9Fqwr7dwak3QZZPJA5O7KBQ_736ks3yogBT5djZerXrajnDUk9hsvP2xGVMnJSq1jPKDvlzIbayUoIX3lCr","expires_in":7200}

响应参数描述

参数

是否必须

说明

suite_id

第三方应用id或者代开发应用模板id。第三方应用以ww或wx开头应用id(对应于旧的以tj开头的套件id);代开发应用以dk开头

suite_secret

第三方应用secret 或者代开发应用模板secret

suite_ticket

企业微信后台推送的ticket

企业可信IP设置

第三方应用或待开发应用需要在服务商后台->服务商信息->基本信息

中设置ip白名单;1分钟后生效。

设置白名单

注意:一般员工账号看不到,需要切换管理员账号。

总结

通过第三方应用开发流程可以知道获取第三方凭证suite_access_token的原因,在之后的API中是一个很重要的参数;在获取的途中,因为不熟悉遇到设置白名单的问题,权限是普通权限看不到服务商功能,之后才发现是权限问题,希望其他开发者不会有这个困惑。

JSON_L
关注
专栏目录
HTTP/1.1 404 Not Found 报错解决方案
xuelang532777032的博客
08-16 851
还一个那个network的,里面不是有接口Fetch/XHR 看那些接口在请求,这个 app断点调试的时候,只有上面那部分的请求时间,不会列出来下面哪些请求数的,所以你不用到处百度了。不用看,得翻,翻的开起来后,你在点这个,等他加载好了之后,你在给他关了就可以了。雪狼实在夜神模拟器用uniapp断点调试app的时候,遇到的问题。
企业微信接入第三方应用并配置身份认证
qq_44473469的博客
06-14 2484
1.接入第三方应用 http://faqrobothttp://faqrobot/webchatbot/chat.html?sysNum=1623047917475&sourceId=101&lang=zh_CN/webchatbot/chat.html?sysNum=1623047917475&sourceId=101&lang=zh_CN
全网最全:企业微信用户授权登录对接完整流程
qq_41655898的博客
09-20 1356
企业微信用户授权与校验对接
企业微信三方应用服务商获取通讯录及扫码登录(测试应用)
m0_58666282的博客
05-12 6025
一、前言 公司作为企业微信第三方应用服务商,想要获取到授权企业的通讯录信息中的用户信息和部门信息,以及授权企业的成员可以扫码进行登录。 二、流程梳理 1.后台配置 红色箭头标记的是最基本的需要的东西。 可信域名:设置可信域名后支持应用的OAuth2授权、JSSDK调用、通讯录名称转义等大部分操作都必须在这个域名下发起才能成功。 指令回调URL:系统将会把此应用的授权变更事件、ticket参数、通讯录变更信息等推送给此URL TOKEN:主要是用来进行校验回调请求的合法性。 EncodingAESKey:
企业微信第三方应用获取永久授权(全流程教程)
xuelang532777032的博客
09-11 989
(雪狼是用另一个企业微信来扫我这个企业开发第三方应用!自己企业扫自己企业开发第三方我没试过!这一步里获取的suite_access_token 直接传过去,然后他到时候会传回来!这一步你会拿到suite_access_token(我和你说,这个suite_access_token用的地方很多,你要先全局变量存起来)雪狼会补充进来博文)
微信第三方平台(获取调用凭证
wozhongmingyue的博客
08-17 538
<? $appId = ''; $authorizer_appid = $_REQUEST['authorizer_appid']; $authorizer_access_token_name = Server::getProject().'_'.$authorizer_appid.'_authorizer_access_token'; $authorizer_refresh_token_name = Server::getProject().'_'.$authorizer_appid.'_autho
企业微信服务商开发模式获取授权企业的客户信息
niezuxue的专栏
12-25 1076
服务商开发 获取客户信息
企业微信获取企业凭证全流程
fzeyu的博客
06-18 2958
1、配置回调配置 在如图所示的地方配置指令回调URL,这个URL地址是你自己写的服务器的地址,需要同时可以响应GET请求和POST请求。 GET请求:在你第一次填写“指令回调URL”的时候,需要在输入框下面会有一个按钮,点击之后会给你写的url发送一个GET请求,来验证这个URL的合法性。对参数“timestamp”、“nonce”、“echostr”、“msg_signature”做一系列校验,校验方式比较繁琐,官网给出了SDK辅助校验,还是比较方便的。https://work.weixin.qq.co
企业微信第三方应用(二维码)授权安装
三水良与马叉虫的博客
05-22 5248
企业微信开发中,有涉及到其他的企业想使用你的应用。 此次记录了企业授权安装第三方应用(二维码篇) 如果事先没开发企业微信第三方应用的,先去入门创建一个第三方小程序,具体细节本文中就不提了。 正文: 官方文档:https://work.weixin.qq.com/api/doc#90002/90151/90783 在官方文档中提到:有两种方式可以让企业安装第三方应用。1-从服务商网站发起 2-...
微信登录第三方应用
08-29
在IT行业中,微信登录第三方应用是一...总之,实现微信登录第三方应用涉及多步骤,包括申请凭证、集成SDK、处理授权流程、获取用户信息以及安全措施。每个环节都需要细心处理,以确保用户体验的流畅性和数据的安全性。
微信网页第三方登录原理
01-27
微信网页第三方登录是微信开放平台提供的一种身份验证机制,它允许用户使用微信账号安全地登录第三方应用或网站。这一机制基于OAuth2.0协议,为开发者提供了一种便捷的方式来实现用户身份验证,减少了用户在不同网站...
java微信开发API第三步 微信获取以及保存接口调用凭证
09-02
主要为大家详细介绍了java微信开发API第二步,微信获取以及保存接口调用凭证,感兴趣的小伙伴们可以参考一下
【完整梳理验证】企业微信第三方应用接入全流程java版
最新发布
Hello, New World!
09-21 713
企业内部的开发者自己开发部署,相当于是企业自己的资产,调用接口基本没有任何限制。由SaaS服务商的开发开发并部署在服务商侧,面向所有企业。需要企业授权使用(先试用后付费),服务商仅可获取企业授权部分的权限,相当于白名单控制。由服务商的开发开发,但部署在企业内部。一般是线下签约采购方式,因此权限几乎与自建应用无异,企业管理员只需要配置不对服务商开放的敏感权限,相当于黑名单控制。服务商后台地址:企业微信服务商官网企业管理后台地址:企业微信管理后台服务商,可以理解为 SAAS 中的运营端。企业管理端,可以理
企微获取access_token、jsapi_ticket、JS-SDK-signature
Ronin6665的博客
04-10 2520
本篇主要叙述Java对接企微必要信息等,后续接口根据各接口需求来获取企微必要信息(access_token、jsapi_ticket等),此处附上。
企业微信 API 接口调用教程:图文详解企业微信 API 的使用方法
LiamHong_的博客
09-22 1万+
本文通过凭证的方式来讲解怎么调用,并一步步介绍如何获取企业微信 API 的以及怎么向企业微信应用,这个在线地址的项目你可以克隆到 Apifox,以方便调试。话不多说,下面进入实操。
微信技术-微信公众号】-------通过Java获取JS-SDK使用权限签名算法其中的“jsapi_ticket”信息实例
皮皮冰要做大神
01-11 6206
1.什么是jsapi_ticket? 2.通过JS-SDK获取使用权限签名算法“jsapi_ticket”的信息实例码 private final static String ACCESS_TOKEN_URL_FULL = "https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=@appid&secret=@secret"; private final..
企业微信{“errcode“:60020,“errmsg“:“not allow to access from your ip, hint: [1681129678500613099333714]
sunsineq的专栏
07-05 5260
配置企业微信小程序时,报了如下错误:企业微信{“errcode”:60020,“errmsg”:“not allow to access from your ip, hint: [1681129678500613099333714], from ip: xxx.xx.xxx.165, more info at https://open.work.weixin.qq.com/devtool/query?再重新进入自建应用,就不会报错了。
微信企业开发01 - 获取corpid 和 corpsecret
jwl_yifeng的专栏
06-16 2万+
刚开始接触微信企业开发的小伙伴难免会遇到一个问题,就是我们从哪里去找企业号的corpid和corpsecret,其实很简单,corpid可以从企业号主页->设置->基本信息 中可以看到,就在最下面,如图: 至于corpsecret,则需要新建一个管理组才能看到,具体步骤:设置->功能设置-》权限管理;如下图: 新建玩群组之后,会在页面内显示CorpId和secret字段,如图:
企业微信接入第三方应用(以服务商身份)
热门推荐
anyuetiantang的博客
07-27 3万+
最近在搞企业微信的东西,刚开始对这个的确没有任何的概念,属于两眼抓瞎的类型,因为场景比较特殊网上搜到的资料也不多,只能自己看着官方文档一点一点去调试。于是,一系列的踩坑之路就上演了,这里就简单介绍一下笔者自己踩的坑吧,也为其他刚刚接触企业微信开发者朋友们提供一点借鉴。 首先,要明确两个概念,就是微信企业微信不是一个东西(虽然有些信息互通)、企业微信应用和服务商的第三方应用也不是一个东西(虽然也有...
Android第三方应用实现微信支付步骤解析
Android第三方微信支付涉及到的步骤较多,包括微信开放平台的注册、应用配置、码编写以及AndroidManifest.xml的修改。开发者需要理解支付流程,正确配置各个环节,才能确保支付功能的顺畅运行。在整个过程中,注意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JSON_L

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值