1. 说明 官方文档
-
只有
被动回复用户的消息
时,才需要进行消息加解密 -
消息加解密的具体修改
- 新增消息体签名验证,用于公众平台和公众账号验证消息体的正确性
- 针对推送给微信公众账号的普通消息和事件消息,以及推送给设备公众账号的设备消息进行加密
- 公众账号对密文消息的回复也要求加密
-
参数说明
-
会多携带两个参数
// 加密类型 @RequestParam String encrypt_type // 消息体签名:token、timestamp、nonce及密文经过 AES 加密后的签名字符串 @RequestParam String msg_signature
-
请求体
// ToUserName、FromUserName、CreateTime、MsgType等全都加密成密文,放进 Encrypt 内 // 密文解密后还将多一个参数:<URL></URL>,值是你在 接口配置信息 填写的 URL <xml> <ToUserName><![CDATA[接收方微信号]]></ToUserName> <Encrypt><![CDATA[密文]]></Encrypt> </xml>
-
返回必须加密
<xml> <Encrypt> <![CDATA[密文]]> </Encrypt> <MsgSignature> <![CDATA[签名]]> </MsgSignature> <TimeStamp>时间戳</TimeStamp> <Nonce> <![CDATA[随机字符串]]> </Nonce> </xml>
-
-
没有公众号可利用 微信公众平台接口调试工具 调试
2. 实现
-
ByteGroup.java
import java.util.ArrayList; import java.util.List; /** * @author Tencent * @date 2021-08-04 10:23 */ public class ByteGroup { List<Byte> byteContainer = new ArrayList<>(); /** * 转为 byte[] * * @return byte[] */ public byte[] toBytes() { byte[] bytes = new byte[this.byteContainer.size()]; for (int i = 0; i < this.byteContainer.size(); i++) { bytes[i] = this.byteContainer.get(i); } return bytes; } /** * 将传进来的 byte[] 添加 * * @param bytes 要添加的byte[] * @return {@link ByteGroup} */ public ByteGroup addBytes(byte[] bytes) { for (byte b : bytes) { this.byteContainer.add(b); } return this; } /** * 获取 成员变量 byteContainer 的长度 * * @return byteContainer 的长度 */ public int size() { return byteContainer.size(); } }
-
PKCS7Encoder.java
import java.nio.charset.Charset; import java.nio.charset.StandardCharsets; import java.util.Arrays; /** * @author Tencent * @date 2021-08-04 10:27 */ public class PKCS7Encoder { private static final Charset CHARSET = StandardCharsets.UTF_8; private static final int BLOCK_SIZE = 32; /** * 获得对明文进行补位填充的字节. * * @param count 需要进行填充补位操作的明文字节个数 * @return 补齐用的字节数组 */ public static byte[] encode(int count) { // 计算需要填充的位数 int amountToPad = BLOCK_SIZE - (count % BLOCK_SIZE); // 获得补位所用的字符 char padChr = chr(amountToPad); StringBuilder tmp = new StringBuilder(); for (int index = 0; index < amountToPad; index++) { tmp.append(padChr); } return tmp.toString().getBytes(CHARSET); } /** * 删除解密后明文的补位字符. * * @param decrypted 解密后的明文 * @return 删除补位字符后的明文 */ public static byte[] decode(byte[] decrypted) { int pad = decrypted[decrypted.length - 1]; if (pad < 1 || pad > 32) { pad = 0; } return Arrays.copyOfRange(decrypted, 0, decrypted.length - pad); } /** * 将数字转化成ASCII码对应的字符,用于对明文进行补码. * * @param a 需要转化的数字 * @return 转化得到的字符 */ private static char chr(int a) { byte target = (byte) (a & 0xFF); return (char) target; } }
-
SHA1.java
import cn.hutool.core.util.StrUtil; import cn.hutool.crypto.SecureUtil; import java.util.Arrays; /** * sha1 加密 * * @author Tencent * @date 2021-08-04 10:34 */ public class SHA1 { /** * 用 SHA1 算法生成安全签名 * * @param token token * @param timestamp 时间戳 * @param nonce 随机字符串 * @param encrypt 密文 * @return 安全签名 */ public static String getSHA1(String token, String timestamp, String nonce, String encrypt) { if (StrUtil.hasBlank(token, timestamp, nonce, encrypt)) { throw new IllegalArgumentException("非法请求参数,有部分参数为空 : "); } String[] strArr = {token, timestamp, nonce, encrypt}; Arrays.sort(strArr); StringBuilder builder = new StringBuilder(); for (String a : strArr) { builder.append(a); } return SecureUtil.sha1(builder.toString()); } }
-
WxMsgCrypt.java
import cn.hutool.core.codec.Base64; import cn.hutool.core.util.RandomUtil; import cn.hutool.core.util.StrUtil; import com.small.nine.wxmp.common.constant.BaseConstant; import com.small.nine.wxmp.config.WxConfig; import com.small.nine.wxmp.domain.bean.wx.WxInMsgBean; import com.small.nine.wxmp.utils.wx.XmlUtils; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import java.nio.charset.Charset; import java.nio.charset.StandardCharsets; import java.util.Arrays; import java.util.Objects; /** * 微信加解密 * * @author Tencent * @date 2021-08-04 10:51 */ public class WxMsgCrypt { /** * 公众平台 appID */ private String appID; /** * 公众平台上,开发者设置的 token */ private String token; /** * 公众平台上,开发者设置的 EncodingAESKey */ private byte[] aesKey; /** * UTF_8 字符集 */ private static final Charset UTF_8 = StandardCharsets.UTF_8; private WxMsgCrypt() { } /** * 初始化 * * @param appID 公众平台 appID * @param token 公众平台上,开发者设置的 token * @param aesKey 公众平台上,开发者设置的 EncodingAESKey */ public WxMsgCrypt(String appID, String token, String aesKey) { if (StrUtil.hasBlank(appID, token, aesKey) || aesKey.length() != 43) { throw new IllegalArgumentException("微信公众号配置信息有误"); } this.appID = appID; this.token = token; this.aesKey = Base64.decode(aesKey); } /** * 初始化 * * @param config {@link WxConfig} */ public WxMsgCrypt(WxConfig config) { this(config.getAppID(), config.getToken(), config.getEncodingAesKey()); } /** * 将一个数字转换成生成 4 个字节的网络字节序 bytes 数组. */ public static byte[] number2BytesInNetworkOrder(int number) { byte[] orderBytes = new byte[4]; orderBytes[3] = (byte) (number & 0xFF); orderBytes[2] = (byte) (number >> 8 & 0xFF); orderBytes[1] = (byte) (number >> 16 & 0xFF); orderBytes[0] = (byte) (number >> 24 & 0xFF); return orderBytes; } /** * 4 个字节的网络字节序 bytes 数组还原成一个数字. */ public static int bytesNetworkOrder2Number(byte[] bytesInNetworkOrder) { int sourceNumber = 0; for (int i = 0; i < 4; i++) { sourceNumber <<= 8; sourceNumber |= bytesInNetworkOrder[i] & 0xff; } return sourceNumber; } /** * 生成 xml 消息. * * @param encrypt 加密后的消息密文 * @param signature 安全签名 * @param timestamp 时间戳 * @param nonce 随机字符串 * @return 生成的xml字符串 */ private String generateXml(String encrypt, String signature, String timestamp, String nonce) { String format = "<xml>\n" + "<Encrypt><![CDATA[%1$s]]></Encrypt>\n" + "<MsgSignature><![CDATA[%2$s]]></MsgSignature>\n" + "<TimeStamp>%3$s</TimeStamp>\n" + "<Nonce><![CDATA[%4$s]]></Nonce>\n" + "</xml>"; return String.format(format, encrypt, signature, timestamp, nonce); } /** * 将公众平台回复用户的消息加密打包. * <ol> * <li>对要发送的消息进行AES-CBC加密</li> * <li>生成安全签名</li> * <li>将消息密文和安全签名打包成xml格式</li> * </ol> * * @param plainText 公众平台待回复用户的消息,xml格式的字符串 * @return 加密后的可以直接回复用户的密文,包括msg_signature, timestamp, nonce, encrypt的xml格式的字符串 */ public String encrypt(String plainText) { // 加密 String encryptedXml = encrypt(RandomUtil.randomString(BaseConstant.BASE_STRING, 16), plainText); // 生成安全签名 String timeStamp = Long.toString(System.currentTimeMillis() / 1000L); String nonce = RandomUtil.randomString(BaseConstant.BASE_STRING, 16); String signature = SHA1.getSHA1(this.token, timeStamp, nonce, encryptedXml); return generateXml(encryptedXml, signature, timeStamp, nonce); } /** * 对明文进行加密. * * @param plainText 需要加密的明文 * @return 加密后base64编码的字符串 */ public String encrypt(String randomStr, String plainText) { ByteGroup byteCollector = new ByteGroup(); byte[] randomStringBytes = randomStr.getBytes(UTF_8); byte[] plainTextBytes = plainText.getBytes(UTF_8); byte[] bytesOfSizeInNetworkOrder = number2BytesInNetworkOrder(plainTextBytes.length); byte[] appIdBytes = this.appID.getBytes(UTF_8); // randomStr + networkBytesOrder + text + appid byteCollector.addBytes(randomStringBytes); byteCollector.addBytes(bytesOfSizeInNetworkOrder); byteCollector.addBytes(plainTextBytes); byteCollector.addBytes(appIdBytes); // ... + pad: 使用自定义的填充方式对明文进行补位填充 byte[] padBytes = PKCS7Encoder.encode(byteCollector.size()); byteCollector.addBytes(padBytes); // 获得最终的字节流, 未加密 byte[] unencrypted = byteCollector.toBytes(); try { // 设置加密模式为AES的CBC模式 Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding"); SecretKeySpec keySpec = new SecretKeySpec(this.aesKey, "AES"); IvParameterSpec iv = new IvParameterSpec(this.aesKey, 0, 16); cipher.init(Cipher.ENCRYPT_MODE, keySpec, iv); // 加密 byte[] encrypted = cipher.doFinal(unencrypted); // 使用BASE64对加密后的字符串进行编码 return Base64.encode(encrypted); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } } /** * 检验消息的真实性,并且获取解密后的明文. * <ol> * <li>利用收到的密文生成安全签名,进行签名验证</li> * <li>若验证通过,则提取xml中的加密消息</li> * <li>对消息进行解密</li> * </ol> * * @param msgSignature 签名串,对应 URL 参数的 msg_signature * @param timeStamp 时间戳,对应 URL 参数的 timestamp * @param nonce 随机串,对应 URL 参数的 nonce * @param encryptedXml 密文,对应 POST 请求的数据 * @return 解密后的原文 {@link WxInMsgBean} */ public WxInMsgBean decrypt(String msgSignature, String timeStamp, String nonce, String encryptedXml) { // 密钥,公众账号的app corpSecret // 验证安全签名 String signature = SHA1.getSHA1(this.token, timeStamp, nonce, encryptedXml); if (!Objects.equals(signature, msgSignature)) { throw new RuntimeException("加密消息签名校验失败"); } // 解密 // return decrypt(encryptedXml); return XmlUtils.xmlToBean(decrypt(encryptedXml), WxInMsgBean.class); } /** * 对密文进行解密. * * @param cipherText 需要解密的密文 * @return 解密得到的明文 */ public String decrypt(String cipherText) { byte[] original; try { // 设置解密模式为AES的CBC模式 Cipher cipher = Cipher.getInstance("AES/CBC/NoPadding"); SecretKeySpec keySpec = new SecretKeySpec(this.aesKey, "AES"); IvParameterSpec iv = new IvParameterSpec(Arrays.copyOfRange(this.aesKey, 0, 16)); cipher.init(Cipher.DECRYPT_MODE, keySpec, iv); // 使用BASE64对密文进行解码 byte[] encrypted = Base64.decode(cipherText); // 解密 original = cipher.doFinal(encrypted); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } String xmlContent; String fromAppId; try { // 去除补位字符 byte[] bytes = PKCS7Encoder.decode(original); // 分离16位随机字符串,网络字节序和AppId byte[] networkOrder = Arrays.copyOfRange(bytes, 16, 20); int xmlLength = bytesNetworkOrder2Number(networkOrder); xmlContent = new String(Arrays.copyOfRange(bytes, 20, 20 + xmlLength), UTF_8); fromAppId = new String(Arrays.copyOfRange(bytes, 20 + xmlLength, bytes.length), UTF_8); } catch (Exception e) { throw new RuntimeException(e.getMessage()); } // appid 不相同的情况 if (!Objects.equals(fromAppId, this.appID)) { throw new RuntimeException("AppID不正确,请核实!"); } return xmlContent; } }