1:首先要先注册一个测试的公众号
1:这样就可以得到自己的appid 和 appsecret
2:接口配置信息
可以看到参数 (测试公众号只有url 和 token)
1:url 是开发者用来接收微信消息和事件 的接口URL。(必须以http://开头,目前支持80端口)
2: Token:可由开发者可以任意填写,用作生成签名(该Token会和接口URL中包含的Token进行比对,从而验证安全性)。注意必须为英文或数字,长度为3-32字符
3: EncodingAESKey:由开发者手动填写或随机生成,将用作消息体加解密密钥。(消息加密密钥由43位字符组成,可随机修改,字符范围为A-Z,a-z,0-9。)
同时,开发者可选择消息加解密方式:明文模式、兼容模式和安全模式:
4: 明文模式:不使用消息体加解密功能,安全系数较低
5: 兼容模式:明文、密文将共存,方便开发者调试和维护
6: 安全模式:消息包为纯密文,需要开发者加密和解密,安全系数高
3: 微信服务器将发送GET请求到填写的服务器地址URL上,GET请求携带参数如下表所示:
参数 描述
signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp
参数、nonce参数。
timestamp 时间戳
nonce 随机数
echostr 随机字符串
开发者通过检验signature对请求进行校验(下面有校验方式)。若确认此次GET请求来自微信服务器,请原样返回echostr参数内容,则接入生效,成为开发者成功,否则接入失败。加密/校验流程如下:
- 将token、timestamp、nonce三个参数进行字典序排序
- 将三个参数字符串拼接成一个字符串进行sha1加密
- 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信
示例如下 (测试有效)
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.io.IOException;
import java.io.PrintWriter;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Arrays;
import java.util.Collections;
import java.util.List;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@RestController
@RequestMapping("/admin/wxmsg")
public class Test extends HttpServlet
{
private static final long serialVersionUID = 1L;
public static final String TOKEN = "这里填写的token就是将来你在接口配置在填写的token";
@GetMapping("/weixin")
protected void doget(HttpServletRequest request, HttpServletResponse response) throws IOException
{
String signature = request.getParameter("signature");
// 时间戳
String timestamp = request.getParameter("timestamp");
// 随机数
String nonce = request.getParameter("nonce");
// 随机字符串
String echostr = request.getParameter("echostr");
System.out.println(signature + timestamp + nonce);
PrintWriter out = response.getWriter();
// 通过检验signature对请求进行校验,若校验成功则原样返回echostr,表示接入成功,否则接入失败
if (checkSignature(signature, timestamp, nonce).equals(signature)) {
out.write(echostr);
System.out.println("微信服务验证成功!"+echostr);
}else {
out.print(echostr);
System.out.println("微信服务验证失败!"+echostr);
}
out.flush();
out.close();
}
public static String checkSignature(String signature ,String timestamp, String nonce)
{
String[] src = {TOKEN,timestamp,nonce};
List<String> list =Arrays.asList(src);
Collections.sort(list);
StringBuilder sb = new StringBuilder();
for (int i = 0; i < list.size(); i++)
{
sb.append(list.get(i));
}
return SHA1(sb.toString());
}
/**
*
* @param decript
* @return
*/
public static String SHA1(String decript) {
try {
MessageDigest digest = MessageDigest.getInstance("SHA-1");
digest.update(decript.getBytes());
byte messageDigest[] = digest.digest();
// Create Hex String
StringBuffer hexString = new StringBuffer();
// 字节数组转换为 十六进制 数
for (int i = 0; i < messageDigest.length; i++) {
String shaHex = Integer.toHexString(messageDigest[i] & 0xFF);
if (shaHex.length() < 2) {
hexString.append(0);
}
hexString.append(shaHex);
}
return hexString.toString();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return "";
}
}
我的 接口配置信息中
url: 域名/admin/wxmsg/weixin
token: 就是示例中的token
注意
1:配置失败的话 可能需要你现在浏览器中访问下你的这个接口,在进行配置
2: url必须是外网可以访问的,端口是80,本地测试的话一般用内网穿透工具 我这边用的是(ngrok)这个内网穿透工具(免费哦)