go语言实战-----30-----token机制微信公众号签名验证的方法、XML解析,CDATA解析、交换协议、接收消息协议、被动回复消息协议、正则表达式

最新推荐文章于 2024-06-14 15:03:41 发布
最新推荐文章于 2024-06-14 15:03:41 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: Go 文章标签: go 微信公众平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44517656/article/details/124282594
版权

一 token机制微信公众号签名验证的方法

1 token机制

token机制就是使用一个token(通常是一个字符串,长度没有特别限制,一般是10字节或者16字节),然后按照一定的算法生成签名,然后对接的双方通过这个签名进行判断,相等则token认证成功,不相等则认证失败。

下面将以微信公众号的token机制算法为例进行讲述。

1.1 token算法

微信公众号token的验证方法,实际在验证token时,不会直接验证token,而是验证由token生成的签名,因为直接验证token,就需要进行传输,这样会导致泄露风险大大增加。
验证步骤:

  • 1)后台服务器(我们自己的程序)获取token,nonce,timestamp组成列表list
    其中token在微信公众号、后台服务器各保存一份,因为不能直接传输,防止被破解。nonce,timestamp是微信公众号发来的。
  • 2)list列表排序。
  • 3)排序后的元素进行字符串拼接。
  • 4)对比签名signature。
  • 5)响应echostr。

在这里插入图片描述

1.2 token算法-流程图

在这里插入图片描述
在这里插入图片描述

1.3 代码演示token机制

下面以微信公众号的token算法为例,演示后台服务器如何通过token生成签名,然后再对比微信公众号发送过来的签名进行对比验证。

package main

import (
	"bytes"
	"crypto/rand"
	"crypto/sha1"
	"fmt"
	"math/big"
	"sort"
	"strconv"
	"time"
)

func CreateRandomString(len int) string {
	// 1. 定义产生随机字符串的源
	var container string
	var str = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890"

	// 2. 获取字符串的长度,并转成big.Int的类型,方便调用时rand.Int传参。
	// b这个变量应该可以不需要
	b := bytes.NewBufferString(str)     // 创建一个Buffer(内部最终是使用[]string存储),并使用参数str进行初始化。
	length := b.Len()                   // 62
	bigInt := big.NewInt(int64(length)) // 创建一个Int结构(内部最终是使用uint存储),并使用参数x int64进行初始化。
	fmt.Println("bingInt: ", bigInt)    // 62

	// 3. 根据传进的长度,获取随机字符串container。
	for i := 0; i < len; i++ {
		randomInt, _ := rand.Int(rand.Reader, bigInt) // 获取[0, max)随机字符的下标。
		container += string(str[randomInt.Int64()])
	}

	return container
}

// 根据 Token Timestamp Nonce 生成对应的校验码, Token是不能明文传输的
func GenerateSignature(token string) (timestamp string, nonce string, signature string) {

	// 1. 产生随机字符串。
	nonce = CreateRandomString(10)

	// 2. 产生时间戳并转成字符串形式。
	timestamp = strconv.FormatInt(time.Now().Unix(), 10) // 将int64类型的时间戳转成字符串。10代表这个int64时间戳的进制。

	// 3. 排序,微信约定好的。这样在对比签名时才能准确判断签名。
	strs := sort.StringSlice{token, timestamp, nonce} // 将三者作为元素放到字符串切片。
	sort.Strings(strs)                                // 排序。strs: [1650007402 lw5cs21kw2 tanyiyuan]
	fmt.Println("strs:", strs)

	// 4. 将切片里的每个元素进行依次拼接,得到一个完整的字符串。
	str := ""
	for _, s := range strs {
		str += s // 拼接字符串
	}
	fmt.Println("str:", str) // str: 1650007402lw5cs21kw2tanyiyuan

	// 5. 加密得到签名。
	h := sha1.New()                           // 微信用sha1,所以这里使用sha1加密。如果完全都是自己的服务的时候,用md5加密也是没问题的。
	h.Write([]byte(str))                      // 转成byte写进digest中。h实际是一个digest类型。
	signature = fmt.Sprintf("%x", h.Sum(nil)) // h.Sum(nil)做hash,然后转成16进制赋值给signature。

	return
}

func VerifySignature(token string, timestamp string, nonce string, signature string) bool {
	// 1. 排序。
	// str = token + timestamp + nonce
	strs := sort.StringSlice{token, timestamp, nonce} // 使用本地的token生成校验
	sort.Strings(strs)

	// 2. 将切片里的每个元素进行依次拼接,得到一个完整的字符串。
	str := ""
	for _, s := range strs {
		str += s
	}

	// 5. 加密得到签名,并判断签名是否一致。
	h := sha1.New()
	h.Write([]byte(str))
	return fmt.Sprintf("%x", h.Sum(nil)) == signature
}

func main() {
	// 1. 定义token
	token := "tanyiyuan"

	// 2. 模拟微信公众号产生签名。
	timestamp, nonce, signature := GenerateSignature(token) // 发送给服务器的时候是发送  timestamp, nonce, signature
	fmt.Printf("1. token %s , timestamp:%s, nonce:%s, -> 产生签名: %s\n", token, timestamp, nonce, signature)

	// 3. 模拟后台服务器验证签名。其中token在后台服务器会保留一份,timestamp, nonce, signature都是微信公众号发送过来的。
	ok := VerifySignature(token, timestamp, nonce, signature) // 服务进行校验
	if ok {
		fmt.Println("2. 验证签名正常")
	} else {
		fmt.Println("2. 验证签名失败")
	}
}

运行结果:
在这里插入图片描述

上面的内容可以微信公众号的开发者文档参考:开启公众号开发者模式

二 XML解析,CDATA解析

因为微信公众号是使用xml进行交互的。所以我们需要用到xml相关的第三方库。

下面可能涉及到对一些协议的结构体的封装。具体微信公众号协议格式,可以看微信官方文档:基础消息能力

2.1 XML解析-解析XML

首先我们先看如何解析xml。

package main

import (
	"encoding/xml"
	"fmt"
	"io/ioutil"
	"os"
)

// 如果struct中有一个叫做XMLName,且类型为xml.Name字段,
// 那么在解析的时候就会保存这个element的名字到该字段, 比如这里的config。
// 即XMLName      xml.Name的名字以xml文件的最外层进行命名。
type SConfig struct {
	XMLName      xml.Name   `xml:"config"`     // 指定最外层的标签为config
	SmtpServer   string     `xml:"smtpServer"` // 读取smtpServer配置项,并将结果保存到SmtpServer变量中
	SmtpPort     int        `xml:"smtpPort"`
	Sender       string     `xml:"sender"`
	SenderPasswd string     `xml:"senderPasswd"`
	Receivers    SReceivers `xml:"receivers"` // 读取receivers标签下的内容,以结构方式获取。说明可以嵌套读取。
}

type SReceivers struct {
	Age    int      `xml:"age"`
	Flag   string   `xml:"flag,attr"` // 读取flag属性
	User   []string `xml:"user"`      // 读取user数组
	Script string   `xml:"script"`    // 读取 <![CDATA[ xxx ]]> 数据
}

func main() {
	// 1. 打开xml文件。
	file, err := os.Open("4-1-xml.xml") // For read access.
	if err != nil {
		fmt.Printf("error: %v", err)
		return
	}
	defer file.Close()

	// 2. 读取数据。
	data, err := ioutil.ReadAll(file)
	if err != nil {
		fmt.Printf("error: %v", err)
		return
	}

	// 3. 反序列化。将二进制数据读到结构体。
	v := SConfig{}
	err = xml.Unmarshal(data, &v) // 反序列化
	if err != nil {
		fmt.Printf("error: %v", err)
		return
	}

	// 4. 这样便得到xml里面的数据,进行下一步操作。
	fmt.Println("文本:", v)
	fmt.Println("+++++++++++解析结果:")
	fmt.Println("XMLName: ", v.XMLName)
	fmt.Println("SmtpServer: ", v.SmtpServer)
	fmt.Println("SmtpPort: ", v.SmtpPort)
	fmt.Println("Sender: ", v.Sender)
	fmt.Println("SenderPasswd: ", v.SenderPasswd)
	fmt.Println("Receivers.Flag: ", v.Receivers.Flag)
	for i, element := range v.Receivers.User {
		fmt.Println(i, element)
	}
	fmt.Println("Receivers.Script: ", v.Receivers.Script)
}

4-1-xml.xml:

<config>
   <smtpServer>smtp.xxx.com</smtpServer>
   <smtpPort>5678</smtpPort>
   <sender>tyy</sender>
   <senderPasswd>123456</senderPasswd>
   <receivers flag="true">
     <user>user1</user>
     <user>user2</user>
     <script>
     <![CDATA[
        function &%< matchwo(a,b) {
            if (a < b && a < 0) then {
                return 1;
            } else {
                return 0;
            }
        }
        ]]>
     </script>
    </receivers>
 </config>

运行结果:
在这里插入图片描述

2.2 XML解析-解析CDATA

  • XML 文档中的所有文本均会被解析器解析。只有 CDATA 区段中的文本会被解析器忽略。术语 CDATA 是不应该由 XML 解析器解析。

  • 像 “<” 和 “&” 字符在 XML 元素中都是非法的。
    “<” 会产生错误,因为解析器会把该字符解释为新元素的开始。
    “&” 会产生错误,因为解析器会把该字符解释为字符实体的开始,因为在xml中,遇到"&"解析器会认为它是一个转义字符,解析器会将其进行转义。 等价于C++字符串中的反斜杠"",因为字符想转义就需要假设反斜杠。

  • 某些文本,比如 JavaScript 代码,包含大量 “<” 或 “&” 字符。为了避免错误,可以将脚本代码定义为 CDATA。
    CDATA 部分中的所有内容都会被解析器忽略。
    CDATA 部分由 “ <![CDATA[ " 开始,由 "]]>" 结束。

例如,演示上面"&"在xml会被转义。我们使用在线xml文档进行测试。JSON/XML互转

当我们输入<config>&amp;</config>,转成json会变成{ "config": "&" }。说明"&"就是转义字符。

在xml中,&amp转义后就是&。
在这里插入图片描述

package main

import (
	"encoding/xml"
	"fmt"
	"strconv"
	"time"

	"github.com/clbanning/mxj"
)

// tag中含有"-"的字段不会输出
// tag中含有"name,attr",会以name作为属性名,字段值作为值输出为这个XML元素的属性,如上version字段所描述
// tag中含有",attr",会以这个struct的字段名作为属性名输出为XML元素的属性,类似上一条,只是这个name默认是字段名了。
// tag中含有",chardata",输出为xml的 character data而非element。
// tag中含有",innerxml",将会被原样输出,而不会进行常规的编码过程
// tag中含有",comment",将被当作xml注释来输出,而不会进行常规的编码过程,字段值中不能含有"--"字符串
// tag中含有"omitempty",如果该字段的值为空值那么该字段就不会被输出到XML,空值包括:false、0、nil指针或nil接口,任何长度为0的array, slice, map或者string

// 封装CData,方便后续增加成员.
type CDATAText struct {
	Text string `xml:",innerxml"`
}

// 微信公众号的消息都会有这4个字段。所以封装为一个结构体。
type Base struct {
	FromUserName CDATAText
	ToUserName   CDATAText
	MsgType      CDATAText
	CreateTime   CDATAText
}

// 文本消息的封装
type TextMessage struct {
	XMLName xml.Name `xml:"xml"`
	Base
	Content CDATAText
}

// 图片消息的封装
type PictureMessage struct {
	XMLName xml.Name `xml:"xml"`
	Base
	PicUrl  CDATAText
	MediaId CDATAText
}

// 将传入的字符串封装成CDATAText结构
func value2CDATA(v string) CDATAText {
	return CDATAText{"<![CDATA[" + v + "]]>"}
}

func main() {

	fmt.Println("============================")

	xmlStr := `<xml> 
		<ToUserName><![CDATA[toUser]]></ToUserName> 
		<FromUserName><![CDATA[fromUser]]></FromUserName> 
		<CreateTime>1649048791</CreateTime> 
		<MsgType><![CDATA[text]]></MsgType> 
		<Content><![CDATA[this is a test]]></Content> 
		<MsgId>1234567890123456</MsgId> 
		</xml>`

	// 1. 解析 XML
	var Message map[string]interface{}
	m, err := mxj.NewMapXml([]byte(xmlStr)) //使用了第三方的库
	if err != nil {
		return
	}

	// 2. 判断最外层元素是否是xml,如果不是则认为它不是xml格式。
	if _, ok := m["xml"]; !ok {
		fmt.Println("Invalid Message.")
		return
	}

	fmt.Println("-->m:", m)

	// 3. 把xml对应的值读取出来
	message, ok := m["xml"].(map[string]interface{})
	if !ok {
		fmt.Println("Invalid Field `xml` Type.")
		return
	}
	Message = message

	fmt.Println("解析出来:", Message) // xml对应的字段还是在map

	fmt.Println("============================")

	// 2. 回复消息。依赖读取到的内容,重新封装成XML。
	var reply TextMessage
	inMsg, ok := Message["Content"].(string) // 读取内容 .(string)转成什么类型的数据
	if !ok {
		return
	}

	fmt.Println("Message[ToUserName].(string):", Message["ToUserName"].(string)) // 如果服务器要处理

	// 封装回复消息,需要添加 CDATA
	reply.Base.FromUserName = value2CDATA(Message["ToUserName"].(string))
	reply.Base.ToUserName = value2CDATA(Message["FromUserName"].(string))
	reply.Base.CreateTime = value2CDATA(strconv.FormatInt(time.Now().Unix(), 10))
	reply.Base.MsgType = value2CDATA("text")
	reply.Content = value2CDATA(fmt.Sprintf("我收到的是:%s", inMsg))

	replyXml, err := xml.Marshal(reply)             // 得到的是byte
	fmt.Println("生成XML:", string(replyXml))         // []byte -> string
	fmt.Println("生成XML:", []byte(string(replyXml))) // string -> []byte
}

运行结果:
在这里插入图片描述

三 交换协议、接收消息协议、被动回复消息协议

交换协议可以理解为包含接收消息协议、被动回复消息协议。

下面以接收消息协议、被动回复消息协议进行讲解。

3.1 你问我答-接收消息协议

以文本类消息为例,接收消息协议的文本协议格式以及各字段含义入下图。
在这里插入图片描述

详细参考微信官方文档:接收普通消息

该文档看到,除了上图的文本类格式,还要其它例如图片、语音、视频等格式。
在这里插入图片描述

3.2 你问我答-被动回复消息协议

同样以文本类消息为例,该被动回复消息协议的文本消息与上面的差不多,只是少了一个MsgId属性字段。
在这里插入图片描述

详细请看微信官方文档:被动回复用户消息

该文档看到,除了上图的文本类格式,还要其它例如图片、语音、视频等格式。
在这里插入图片描述

关于接收消息协议、被动回复消息协议两者的区别,笔者目前认为只是单纯的协议字段不太一样,实际含义应该差不多,都是微信粉丝发送信息后,微信公众号根据情况封装成 接收消息协议 或者 被动回复消息协议,再转发到后台服务器处理。

例如上面接收消息协议、被动回复消息协议的文本消息,两者只相差了一个MsgId属性字段。

四 演示结果

这里go写的代码就不给出来了,大家可以使用微信官方提供的python代码案例进行测试。链接是开启公众号开发者模式

这是我的结果,公众号粉丝发送什么内容,我们后台就回复什么内容:
在这里插入图片描述

五 go语言之进阶篇正则表达式

参考我之前写的文章:go语言基础-----11-----正则表达式

或者go的官方:Golang标准库文档

这里不再多说。

Golang 如何优雅地进行 XML 处理
Golang编程笔记的博客
04-14 786
在当今的软件开发中,数据交换和存储是非常重要的环节。XML(可扩展标记语言)作为一种常用的数据格式,具有良好的可读性和可扩展性,被广泛应用于各种领域,如配置文件、数据传输等。Golang 作为一种高效、简洁的编程语言,提供了丰富的库来处理 XML 数据。本文的目的是详细介绍如何在 Golang 中优雅地进行 XML 处理,包括 XML解析和生成。范围涵盖了从基础概念到实际应用的各个方面,帮助开发者掌握在 Golang 中处理 XML 数据的最佳实践。
python使用微信设置-Python3实现微信公众平台Token验证与接口请求验签
weixin_37988176的博客
10-30 1627
这一篇教程,我们一起了解关于微信公众平台开发的基本配置(包括服务器设置和沙箱设置以及Token验证),以及通过获取微信公众平台沙箱密钥了解接口调用时的验签过程。首先要提醒大家,微信公众平台开放的接口只有一部分,微信支付接口需要先进行公众号认证或者到微信开放平台进行开发者身份验证才能使用,验证费每年300元。我想这一定是一个假的开放平台…虽然,我做了各种尝试,看能不能进行微信支付相关的开发测试,结果...
go语言使用Token
m0_56286722的博客
05-22 818
token创建时需要:1. 签发时间:IssuedAt2. 结束时间:ExpiresAt3. 签发人:Issuer4. token所携带的登录人信息(也就是可以表明是谁登录的)利用jwt.NewWithClaims(method SigningMethod, claims Claims) 函数获取Token类型的Token其中SigningMethod为签名算法,jwt内置了许多算法,这里用的是jwt.SigningMethodHS256。
JSAAS 平台实现 微信类似的TOKEN机制
weixin_34408717的博客
12-01 262
  在企业微信中,我们在调用微信接口时,我们需要首先获取token,然后根据token,调用API接口方法。这个token是有生命周期的,微信的token默认的生命周期是7200秒。 因此这个token可以保证平台被安全的客户端调用。 JSAAS也需要API接口调用,在平台中JSAAS也实现了类似的接口API接口。 实现方式 1.注册子系统 产生ACCESSTOKEN接口 平台中...
go 公众号 关注 监听_微信公众号接入服务器验证Go实现)
weixin_39539733的博客
12-19 222
1 基本流程将token、timestamp、nonce三个参数进行字典序排序将三个参数字符串拼接成一个字符串进行sha1加密开发者获得加密后的字符串可与signature对比,标识该请求来源于微信2 请求参数参数描述signature微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。timestamp时间戳nonce随机数echos...
微信公众号接入服务器验证Go实现)
dengdong1261的博客
01-20 434
1 基本流程 将token、timestamp、nonce三个参数进行字典序排序 将三个参数字符串拼接成一个字符串进行sha1加密 开发者获得加密后的字符串可与signature对比,标识该请求来源于微信 2 请求参数 参数 描述 signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 ...
go 解析token
qq_40530622的博客
01-29 916
//import "encoding/base64" func token() { hh, err := base64.RawURLEncoding.DecodeString("eyJuYW1lIjoiem55Iiwib3BlbmlkIjpudWxsLCJuaWNrbmFtZSI6bnVsbC**********oHpm4UCJhdXRocyI6WyJzYS5xYSJdLCJpYXQiOjE2MTE5MDY4NzgsImV4cCI6MTYxNDg3OH0") if err != nil { fmt.
Python3-Flask-微信公众号开发-3
来瞧一瞧,看一看咯.
06-23 5690
当普通用户想公众号发消息时,微信服务器将POST消息XML数据包到开发者填写的URL上。微信的可以收到用户的消息类型分文本、图片、语言、视频、小视频、地理位置和链接,所对应的MsgType分别为[text,image,voice,video,shortvideo,location,link]。请注意: 1、关于重试的消息排重,推荐使用msgid排重。 2、微信服务器在五秒内收不到响应会断掉连接,并
微信公众号测试号接入微信公众平台开发----node.js
m0_61801872的博客
09-27 656
微信公众号申请测试号接入微信公众平台
微信公众号--会员卡管理(C# )
蓝思创工作室知识库
05-20 3749
本文是重点介绍微信公众号--会员卡管理,结合开发文档用c#开发出会员卡demo,主要包含会员卡创建、设置开卡字段、通过创建二维码来投放会员卡、同步会员卡数据/激活会员卡、拉取会员信息、更新会员信息、设置会员卡失效、删除会员卡
微信公众号接口开发--回复消息
qq_41379337的博客
02-18 3005
作为一个微信公众号,与用户的交互能力是十分重要的,比如根据用户发送的消息和推送事件被动回复用户消息(文字,图片,视频,图文等等),现在我就测试了几个接口来实现这些功能:
微信公众号前端签名算法sign.js
04-26
需要微信公众号签名算法的可以在这里下载下来,sign.js,使用方法已经在我博客里面提及到,敬请下载
Go-Golang版微信accesstokenjsapiticketsignature签名算法生成示例
08-13
Golang版】微信access_token、jsapi_ticket、signature签名算法生成示例,开箱即用
微信公众号签名sha1.js
02-05
微信公众号签名sha1.js ,附带简单使用
什么是Token机制
weixin_41303815的博客
04-08 560
简单理解Token机制 什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名token的前几位以哈...
Golang使用Token
最新发布
weixin_44284775的博客
06-14 477
当你登录某个网站时,服务器会给你一个Token,这个Token里面有一些信息,比如你是谁(用户身份)。以后你再访问这个网站的时候,就可以带上这个Token,服务器通过验证Token来确认你是合法的用户,而不是别人假冒的。Token就像是一张通行证,用户登录后得到这张通行证,后续访问时带上它,服务器通过验证通行证来确认用户身份。每次用户带着Token访问服务器时,我们需要验证Token的合法性,确认这个Token是我们生成的,并且没有过期。当用户登录时,我们生成一个Token并返回给用户。
token机制
weixin_30905133的博客
03-12 160
1.前端客户端通过post请求将username和password发送给服务器 2.   2.1服务器获取用户数据   2.2.验证数据   2.3.验证成功后,对用户数据进行加密,得到=加密后的随机字符串(token)   2.4然后把token值返回给前端 3.前端将token值保存在storage的存储空间中(通过js代码) 后端想要获取token值: 1.通...
测试 生成公众号微信签名算法
weixin_46382390的博客
05-06 455
需在公众号配置ip白名单 1、获取access_token 格式: https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=appid&secret=secret 2、获取jsapi_ticket 格式:https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=access_token&type=jsapi 3、S
签名算法
weixin_34336292的博客
06-19 608
1.签名算法 签名生成的通用步骤如下: 第一步,设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序),使用URL键值对的格式(即key1=value1&amp;key2=value2…)拼接成字符串stringA。 特别注意以下重要规则:  ◆ 参数名ASCII码从小到大排序(字典序);  ◆ 如果参数的值为空不参与签名;  ◆...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值