微信小程序利用code获取会话密钥session_key,进而解密获取用户唯一标识openid和用户在开放平台的唯一标识符unionid

最新推荐文章于 2024-05-09 13:12:10 发布
最新推荐文章于 2024-05-09 13:12:10 发布
阅读量4.6k 收藏 2
点赞数 3
分类专栏: Wechat 文章标签: PHP 微信小程序 unionid 解密 openid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/likun_li/article/details/89029057
版权

多读多写多记录,多学多练多思考。----------- Banana • Banuit Gang(BUG香柚帮)

  我们都知道,同一个微信用户的公众号和小程序等的unionid是相同的,openid是不同的,有时候我们如果想要实现例如利用小程序往公众号推送消息,就得先获取unionid,然后找到公众号的openid,才可以实现这个功能,而获取unionid的前提条件就是你必须在微信开放平台绑定了公众账号和小程序,仅仅在公众平台关联小程序是不行的。而且这两个东西,用户必须都用过才行。比如说,用户只用过小程序,而没有用过小程序关联的公众号,这样也是不行的。

  微信解密官方demo:

https://github.com/kun19911227/weChatAppDecryption.git

1. 需要向自己的服务器api传递3个参数:

  1. code:用户登录凭证
  2. iv:加密算法的初始向量
  3. encryptedData:包括敏感数据在内的完整用户信息的加密数据
//1、调用微信登录接口,获取code
wx.login({
    success: function (r) {
        var code = r.code;//用户登录凭证,有效期为5分钟
        if (code) {
            //2、调用获取用户信息接口
            wx.getUserInfo({
                success: function (res) {
                    console.log({encryptedData: res.encryptedData, iv: res.iv, code: code})
                    //3.请求自己的服务器,解密用户信息 获取unionId等加密信息
                    wx.request({
                        url: 'http://banana.com/index.php?g=api&m=user&a=register'',//自己的服务接口地址
                        method: 'post',
                        header: {
                            'content-type': 'application/x-www-form-urlencoded'
                        },
                        data: {encryptedData: res.encryptedData, iv: res.iv, code: code},
                        success: function (data) {
 
                            //4.解密成功后 获取自己服务器返回的结果
                            if (data.data.status == 1) {
                                var userInfo_ = data.data.userInfo;
                                console.log(userInfo_)
                            } else {
                                console.log('解密失败')
                            }
 
                        },
                        fail: function () {
                            console.log('系统错误')
                        }
                    })
                },
                fail: function () {
                    console.log('获取用户信息失败')
                }
            })
 
        } else {
            console.log('获取用户登录态失败!' + r.errMsg)
        }
    },
    fail: function () {
         console.log('登陆失败')
    }
})

2,在自己服务器的接口里边通过调用微信开发者服务器接口可以得到本次登录的会话密钥session_key,然后解密返回

微信开发者服务器请求地址:

GET https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code
    /**
	 * 会员注册api
	 */
	public function register() {
		include_once "wxBizDataCrypt.php";

		$data = array();

		$code          = I('post.code');
		$iv            = I('post.iv');
		$encryptedData = I('post.encryptedData');
		$appid      = '';//小程序唯一标识   (在微信小程序管理后台获取)
		$appsecret  = '';//小程序的 app secret (在微信小程序管理后台获取)
		$grant_type = "authorization_code"; //授权(必填)

		$params = "appid=".$appid."&secret=".$appsecret."&js_code=".$code."&grant_type=".$grant_type;
		$url = "https://api.weixin.qq.com/sns/jscode2session?".$params;

		$res = json_decode($this->httpGet($url),true);

		$sessionKey = $res['session_key'];//取出json里对应的值

		$pc = new \WXBizDataCrypt($appid, $sessionKey);
		$errCode = $pc->decryptData($encryptedData, $iv, $data );

		if ($errCode == 0) {
			print($data . "\n");
		} else {
			print($errCode . "\n");
		}
		$data['errCode'] = $errCode;

		return $this->ajaxReturn($data);
	}


	public function httpGet($url) {
		$curl = curl_init();
		curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
		curl_setopt($curl, CURLOPT_TIMEOUT, 500);
		curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, false);
		curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, false);
		curl_setopt($curl, CURLOPT_URL, $url);
		$res = curl_exec($curl);
		curl_close($curl);
		return $res;
	}

由于我的也没有在开放平台绑定,所以获取不到用户在开放平台的唯一标识符unionid,但是思路就是这样的。 

@Banana
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
微信小程序获取session_keyopenId(加解密 签名系列)
qq_30121869的博客
02-07 7729
(2)调用wx.login()接口获取登录凭证js _ code(3)调用wx.request()接口向服务器后台发送JS _ code(4)在服务器后台,给定appId、secret和js_code,然后调用下面官方提供的http接口,就可以拿回openIdsession_key了。APPID=APPID SECRET=secret js _ code=jscodegrant _ type=authorization _ code获取步骤:(1)获取APPID、secret、js _ code
获取微信小程序用户codeopenidsession_key
qq_59833893的博客
11-13 3996
打开微信开发者工具,在工具中选择"小程序",然后点击"新建项目"。填入项目名称、AppID,选择项目存放的本地目录,并选择开发者工具支持的小程序版本。在你的电脑上安装微信小程序的开发者工具。你可以从微信开放平台官网下载并安装适用于你的操作系统的开发者工具。登录微信开放平台,进入小程序管理后台,在左侧菜单中选择"开发" -> "开发设置",创建一个新的小程序。在新建项目的配置页面中,可以选择小程序的模板、配置appid、项目名称等信息。根据项目需求进行配置。在小程序创建成功后,你会获得一个唯一的AppID。
微信小程序中的session_key揭秘:掌握核心匙,开启安全与用户
最新发布
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-09 2539
微信小程序中的一个特殊,它在用户登录验证成功后由微信服务器返回给小程序,作为用户会话的凭证。不同于传统的web开发中的session,微信小程序中的并不存储在服务器端,而是通过加的方式存于客户端,与openid一起用于解密敏感数据,如unionid等。不仅是微信小程序安全的守护神,也是开发者必须精通的技艺。在实际应用中,你是否遇到过关于的特殊挑战或有创意使用案例?如何进一步优化用户体验同时保证安全性?欢迎在评论区分享你的见解,一起探索的更多可能性,为小程序开发之旅铺设更稳固的基石。
企业src赏金之路:500的逻辑高危漏洞(微信公众号:LHACK安全)
qq_62428674的博客
10-19 324
这个过程涉及到session_key,它是一个重要的,用于解密微信开放数据的AES加。妥善保存session_key:在服务器端,确保session_key的存储是安全的,只有授权的人员可以访问。通过采取这些措施,你可以增强小程序的安全性,保护用户的数据免受潜在的风险。如果你的小程序涉及到用户数据的加解密,特别是在与微信开放数据的交互中,确保session_key的安全性至关重要。使用微信提供的解密库:使用微信提供的开放数据解密库来处理用户数据的解密操作,以确保正确的解密过程。
关于小程序session_key漏洞问题的解决2022-12-01
qq_38220334的博客
12-04 2601
下面是官网的提示信息链接: 问题复现:现在是session_key暴漏在返回的参数中 修改后,从后端返回的参数如下;只有手机号码和appid,已经把session_key去掉了 原来获取session_key的方法 上面的code(this.data.loginCode,)是从下面的方法中获取的 上面的这种方式,会把session_key暴漏在浏览器上面,所以下面是优化的方法,我们不在后端传session_key了,调用新的接口,这个接口中会返回手机号码和appid 现在获取appid和phone的方法,
MiniProgram获取用户信息(java后台获取
_Weck By Han
07-25 2951
流程梳理: code - 请求微信接口 - 获得session_key - AES解密 - 获得信息 小程序端通过open-tye(具体百度),用户授权后,返回code,iv,encrypteData传参到后台,通过微信小程序接口(https://api.weixin.qq.com/sns/jscode2session?appId=" + xgxAppid + "&secret=" +...
一次奇妙的任意用户登录实战
蚁景网安学院
04-22 443
刚刚进行了微信sessionkey的学习,正准备实战一下,就发现了这个神奇的网站,预知后事如何,请继续向下看去。
微信小程序Code怎么获取
u012951308的博客
08-20 9105
1.官方开发文档 wx.login 可以获取code 2.微信PC端内存HOOK获取小程序Code 3.抓PC包 { 微信小程序基本都是基于HTTPS的,在开发调试小程序时,普通的抓包软件是抓不到的,所以我们想要抓包首先需要配置证书 SSL 推荐软件 fiddler 或 Charles 1.fiddler配置抓取Https包 1.下载最新版fiddler 2.下载并安装Fiddler证书生成器 3打开Fiddler,点击工具栏中的Tools—>Options 4.点击https设置选项,勾选选择项 5
微信小程序登录后code获取
yjack007的专栏
05-19 9724
一般小程序采用的是wx.login后获取微信返回的code,然后再利用这个code发起自身服务端的请求,所以获取这个code,其实是可以模拟第三方小程序进行后续的操作。这个code一般通过第三方抓包工具fiddler或charles都能截获到。最近弄小程序的分析比较多,也做了一个工具。 ......
微信小程序session_key、encryptedData、iv进行解密获取用户头像名称
wyh757787026的博客
10-26 6507
微信小程序session_key、encryptedData、iv进行解密获取用户头像名称
微信小程序code和其他内容的获取
yjack007的专栏
11-07 4141
这个程序的作用不是生成code而是截获code,那我们就需要明确,你拿code的目的是什么?无非是通过code传给小程序应用服务器即去微信做个身份验证,顺带把小程序后续需要验证的token、sign签名用的一些参数返回
Java获取微信小程序code获取openidsession_keyunionid获取授权信息解密获取手机号
weixin_61016066的博客
06-07 6764
Java获取小程序code和getPhoneNumber的解析,获取openidunionidsession_key还有用户的手机号
获得session_keyopenId(加解密、签名系列)
sinat_36947685的博客
12-26 2万+
1:session_keyopenId是什么?session_key 官方说明为: session_key是微信服务器生成的针对用户数据进行加签名的 session_key的用途 (1)对wx.getUserInfo()接口得到“用户信息中的文”进行解密。 (2)对它“稍作处理”,用作维护小程序的登录态。 “稍微处理”大体为: (1)生成一个随机数(官方把他
微信小程序开发之用户系统 一键登录 获取session_keyopenid
热门推荐
dzp_coder
11-17 3万+
思来想去不愿自己的微信小程序是个单机版本.自己又不会写后台.现在借助leancloud可以实现微信小程序一键登录功能.尝试后,做笔记. 第一步:下载av-weapp.js,放到utils下. 第二步:使用 const AV = require('../../utils/av-weapp.js');路径根据具体情况而定. 第三步:做初始化. AV.init({ appId:
微信小程序获取用户手机号文数据解密报错问题
wh7pwb98的博客
06-08 4995
微信小程序获取手机号出现Illegal Buffer at WXBizDataCrypt.define.push.WXBizDataCrypt.decryptData错误或javax.crypto.BadPaddingException: pad block corrupted(后端语言为java)错误
pc微信hook WechatHook 分析研究 小程序code 云函数
Q44804487的博客
03-05 3818
小程序code获取 云函数
微信小程序登录完整流程(copy即用)
yushun的博客
06-13 2130
公司这两天开发微信小程序,记录一下微信登录的过程 步骤: 1: 获取微信code、sessionKey(加)、avatar(商家头像); 2: 通过微信code得到微信openID、微信unionID(微信唯一标识); 3: 通过微信unionID(微信唯一标识)查询数据库是否存在,存在则返回token给到前端,不存在则获取手机号(我这边的流程是小程序是和账号码互通的); 4: 微信手机号授权通过前端传过来的微信openID、sessionKey(加)、encryptedData(加
微信小程序抓包与逆向+微信小程序反编译教程+解包教程+解包工具
小小白哈喽的博客
11-11 1万+
下面的操作,都是在cmd命令窗口中操作的,需要强调的是,必须在wxapxxxxker路径里才可以,简易方法是,直接在【wxapxxxer】文件夹的地址栏里输入cmd即可。上来先梭哈分析,毕竟预约嘛,那肯定需要分析包,当开始抓包的哪一个,心里默念了很多我 ** 你的大 **那该怎么办,单子接了,不能放弃。网上有很多教程,是用root过的手机提取小程序包,其实不用那么麻烦,直接用微信PC客户端就可以了。说明你找的小程序,是大神开发的,已经做了反编译的安全措施,所以解密失败,这也是我发这篇文章的目的。
小程序如何获取code
eeeeety6208的博客
10-25 2403
注意:wx.authorize({scope: "scope.userInfo"}),无法弹出授权窗口,请使用。开发者服务器以code换取 用户唯一标识openid会话session_key。小程序调用wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。登录的时候需要拿到token值,需要跟后端配合才能拿到。调用前需要 用户授权 scope.userInfo。一个用户相对于不同的微信应用会存在不同的openId。两种解决方案:前端保存和后端保存。在应用中如何保存用户登录态。
Java获取openidsession_key以及解密用户数据(UnionId或手机号)
05-30
要在Java中获取openidsession_key,您需要使用微信提供的小程序登录API。您可以通过调用以下API获取openidsession_key: ```java String appId = "yourAppId"; String secret = "yourAppSecret"; String jsCode...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值