API开发接口设计 采用微信accessToken授权方式

置顶 已于 2022-11-18 16:16:19 修改
阅读量1.4k 收藏
点赞数 2
分类专栏: Java后端实战技巧 文章标签: java accessToken
于 2022-11-18 15:58:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wu6cfp38/article/details/127915560
版权

⼀、开放接⼝设计说明:

在开发微信授权登入,访问用户信息,就会发现,在微信开发平台调用接口的流程如下:

1. 在开发平台申请到 appid 和 app_secret 

2. 通过appid 和 app_secret 访问获取access_token(一般都要带一个时间戳请求timestamp)

 时间戳在线工具

3.通过获取的access_token去调用开发接口 (有效期2小时)

按照这个流程,我们通过Java代码实现一下

Action:

One: 数据库表设计(记录申请访问接口的对象)

CREATE TABLE `t_open_api` (
  `id` int(11) NOT NULL AUTO_INCREMENT, 
  `app_name` varchar(255) DEFAULT NULL,
  `app_id` varchar(255) DEFAULT NULL,
  `app_secret` varchar(255) DEFAULT NULL,
  `is_flag` varchar(255) DEFAULT NULL
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

// 设计 申请app名称,appid,appSecret,状态(is_flag -1停用 1使用) 

two: 生成Token的方式 

1. UUID.randomUUID().toString().replace("-", "");
2. 雪花算法: 使用一个64bit的long型的数字作为全局唯一ID 分布式系统中应用广泛

three: 生成appId+appSecret

Post请求api获取appId,appSecret

{

"appName": "测试app",  //申请名称

"phone": xxxx  //联系人

}

    @RequestMapping("/getApp")
    public R getApp(@Validated({AddGroup.class}) @RequestBody TOpenApi appId) {
        appId.setCreateDate(new Date());
        String idStr = IdWorker.getIdStr();
        String uuid = IdWorker.get32UUID();
        appId.setAppSecret(uuid);
        appId.setAppId(idStr);
        appId.setIsFlag(1);
        TOpenApi app = iTOpenApiService.getOne(new QueryWrapper<TOpenApi>().eq("app_name", appId.getAppName()).eq("phone", appId.getPhone()));
        // 同步redis中
        BoundHashOperations<String, String, String> operations = redisTemplate.boundHashOps(appKey);
        if (app == null) {
            iTOpenApiService.save(appId);
            operations.put(appId.getAppId(), JSON.toJSONString(appId));
            return R.ok().put("app", appId);
        } else {
            operations.put(app.getAppId(), JSON.toJSONString(app));
            return R.ok().put("app", app);
        }
    }

这里加入了 JSR303校验,并统一返回异常提示

成功返回:appId,appSecret

校验失败提示:

four: 生成access_token

伪代码:1. Post请求传入appId(唯一)+appSecret

               2. 判断商户是否存在,(优化,数据量大,放入redis中 key为appId+appSecret)

               3. 生成AccessToken 更新Redis中AccessToken,2小时TLL

              如果是分布式系统,需要考虑给每个appId加锁 (1单获取到锁已经生成AccessToken就直接返回)

 @RequestMapping("/getAccessToken")
    public R getAccessToken(@Validated({AccessGroup.class}) @RequestBody TOpenApi appEntity) {
        //校验传来数据的有效性
        if (checkData(appEntity)) {
            return R.error("没有权限生成AccessToken");
        }
        // 1.生成新的AccessToken
        String accessToken = UUID.randomUUID().toString().replace("-", "");
        String accessKey = ACCESSKEY + appEntity.getAppId();
        if (redisTemplate.hasKey(accessKey)) {
            accessToken = redisTemplate.opsForValue().get(accessKey);
        } else {
            redisTemplate.opsForValue().set(accessKey, accessToken, timeToken, TimeUnit.SECONDS);
            redisTemplate.opsForValue().set(CHECKKEY + accessToken, appEntity.getAppId(), timeToken, TimeUnit.SECONDS);
        }
        return R.ok().put("accessToken", accessToken);
    }

    /**
     * 检查是否满足申请,1. 秘钥不一致,或者秘钥不存在 2 已经停用 都不能获取accessToken
     *
     * @param appEntity
     * @return
     */
    private boolean checkData(TOpenApi appEntity) {
        String appId = appEntity.getAppId();
        String appSecret = appEntity.getAppSecret();
        //获取redis中数据校验
        BoundHashOperations<String, String, String> operations = redisTemplate.boundHashOps(appKey);
        String str = operations.get(appId);
        TOpenApi t = JSON.parseObject(str, TOpenApi.class);
        String secret = t.getAppSecret();
        if (!secret.equals(appSecret)) {
            //标识不满足
            return true;
        }
        //已经停用
        Integer flag = t.getIsFlag();
        if (1 != flag) {
            return true;
        }
        return false;
    }

成功返回:

失败返回(校验提示+拦截异常提示下面five):

five 添加拦截器 AccessTokenInterceptor 判断请求参数accessToken (定义范围)

      or 使用Aop 切入每个请求处理   (注解中加入范围)

package com.whm.code.demo.interceptor;

import cn.hutool.core.util.StrUtil;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.whm.code.demo.entity.TOpenApi;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.BoundHashOperations;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.StringUtils;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

@Slf4j
@Component
public class AccessTokenInterceptor implements HandlerInterceptor {

    private static final String CHECKKEY = "checkKey:";

    private static final String appKey = "appKey";

    @Autowired
    private StringRedisTemplate redisTemplate;

    public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o)
            throws Exception {
        String uri = httpServletRequest.getRequestURI();
        AntPathMatcher antPathMatcher = new AntPathMatcher();
//        // 标识除了openApi/** 的接口都拦截  + 配置WebAppConfig  重写WebMvcConfigurer WebMvcConfigurer
//        boolean match = antPathMatcher.match("/openApi/**", uri);
//        if (match) {
//            return true;
//        }
        //accessToken 放入请求头中
        String accessToken = httpServletRequest.getHeader("accessToken");
        if (StringUtils.isEmpty(accessToken)) {
            // 返回错误消息
            resultError(" this is parameter accessToken null ", httpServletResponse);
            return false;
        }
        // 验证accessToken
        String appId = redisTemplate.opsForValue().get(CHECKKEY + accessToken);
        if (StrUtil.isEmpty(appId)) {
            resultError("this is bad accessToken", httpServletResponse);
            return false;
        }
        //判断appId的状态
        BoundHashOperations<String, String, String> operations = redisTemplate.boundHashOps(appKey);
        String str = operations.get(appId);
        TOpenApi t = JSON.parseObject(str, TOpenApi.class);
        //已经停用
        Integer flag = t.getIsFlag();
        if (1 != flag) {
            resultError("this is bad accessToken", httpServletResponse);
            return false;
        }
        log.info("AccessTokenInterceptor---" + uri + "--访问成功");
        return true;
    }

    public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o,
                           ModelAndView modelAndView) {
        log.info("AccessTokenInterceptor---处理请求完成后视图渲染之前的处理操作");
    }

    public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                Object o, Exception e) throws Exception {
        log.info("AccessTokenInterceptor---视图渲染之后的操作");
    }

    public void resultError(String errorMsg, HttpServletResponse httpServletResponse) throws IOException {
        PrintWriter printWriter = httpServletResponse.getWriter();
        // setResultError为封装的返回信息,请⾃定义
        printWriter.write(new JSONObject().toJSONString(errorMsg));
    }
}

 //配置拦截范围

@Configuration
public class MyWebConfig implements WebMvcConfigurer {

    @Autowired
    private AccessTokenInterceptor accessTokenInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        //设置拦截的请求
        registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/api/**");
    }
}

six 获取accessToken访问别的开发接口 平台验证accessToken是否有效,有效后可访问数据

这里可以做数据的加密,解密操作。RSA/ AES

1 /api/** 请求的请求头带入accesstoken

 2 /api/** 请求的请求头不带入accesstoken

这里也校验accessToken的有效性

3 其他api请求不用accessToken可直接访问

详细代码可留言邮箱。

6个日的梦想
关注
专栏目录
微信小程序请求微信api授权登录(Java后端)
CRR_0312的博客
03-23 7088
1.小程序端调用wx.login(),获取到微信返回的code临时凭证. 2.小程序端调用我方的后台接口,Java后端调用微信api,需要appId,appSecret,js_code,grant_type:authorization_code 代码如下: private JSONObject getUserWXLoginInfo(String wxCode) { String reques...
java获取access token_java获取微信accessToken的方法
weixin_42562079的博客
02-12 852
本文实例为大家分享了java如何获取微信accessToken,供大家参考,具体内容如下package com.fengdi.lianmeng.task;import com.fengdi.lianmeng.common.CacheHelper;import com.fengdi.lianmeng.util.http.HttpRequest;import com.fengdi.lianmeng.u...
APIaccess_token
09-19 346
  access_token存在意义:  1、身份验证(一个channel_id一般有0个或1个有效的access_token)   2、限制用户访问服务器数据的有效期   3、限制用户访问权限   access_token执行流程:      总结access_token几个要点:   1、token是在使用方请求服务器后,服务器再生成token并进行返回...
Java微信授权登录小程序接口
最新发布
m0_72958694的博客
08-20 1482
本文简要介绍了用Java微信授权登录小程序接口的方法,并给出了详细的代码示例。
API开放接⼝设计之appId,appSecret,accessToken
weixin_43927639的博客
09-03 1399
API开放接⼝设计appId,appSecret,accessToken
微信客服API接口对接-获取access_token-调用其他接口时都需要获取-【唯一客服】...
程序员老狼专注开发aigc或客服系统应用
03-17 712
调用任何其他接口的时候,都需要先获取access_token 并且不能频繁调用,需要有缓存机制 package wechat_kf_sdk import ( "bytes" "encoding/json" "encoding/xml" "errors" "fmt" "github.com/patrickmn/go-cache" "io"...
微信小程序设置用户收货地址
田兴的博客
05-11 8527
1. 获取用户收货地址需要用户点击授权,所以有两种情况,确认授权、取消授权。 情况一,用户第一次访问用户地址授权,并且点击确定授权 情况二,用户点击取消授权后,再次获取授权 流程: (代码逻辑整理) 1.点击事件触发函数,获取用户当前设置 2.根据用户当前设置中的用户授权结果,判断是否包含收货地址授权 3.如果包含收货地址授权并且没有取消过收货地址授权,直接调用wx.chooseAddress(),获取用户收货地址。 4.取消过收货地址授权,调用wx.openSetting(),调起客户端小程序设置界
java企业微信源码-weiwork:Java企业微信开发源码框架,获取AccessToken,发送消息
05-19
Java企业微信开发源码框架,获取AccessToken,发送消息. 当前应用于公司的企业微信监控报警系统. 微信企业号管理系统源码框架 使用springboot框架 基础签名验证,附加强加密算法jar 获取accessToken 发送消息 扩展对接...
微信服务号/企业号防止AccessToken过期的操作
12-11
它是微信API接口调用的通行令牌,用于验证开发者身份并确保请求的安全性。然而,`AccessToken` 不是永久有效的,它会定期过期,这就需要开发者采取措施来管理和更新。以下是对微信服务号/企业号防止`AccessToken`...
微信accesstoken设计有什么不妥
09-02
微信accesstoken设计在某些...综上所述,微信accesstoken设计在有效期、手动刷新、错误反馈、请求频率限制和安全性等方面存在一些不妥之处,希望未来微信能够改进这些问题,提供更好的开发体验和安全性保障。
企业微信SDK包PHP扩展
03-01
企业微信SDK包PHP扩展是专为开发设计的工具,用于帮助他们在PHP环境中更方便地集成和使用企业微信API功能。这个扩展名为“Wxwork”,它提供了丰富的类库和函数,使得开发者能够轻松实现与企业微信接口的交互,如...
微信接口token验证和消息回复原理
10-12
微信接口token验证和消息回复原理,其中有详细的注释说明,帮助您理解微信接口实现,和实现消息的回复,是微信接口开发的入口,可是先自动回复机器人的开发
微信授权相关接口
weixin_30897079的博客
11-17 56
<?php /** * 微信授权相关接口 * * @link http://www.phpddt.com */ class Wechat { //高级功能-》开发者模式-》获取 private $app_id = 'xxx'; private $app_secret = 'xxxxxxx'; /** ...
微信授权登录接口合集
ANGEL CITY
08-19 2850
1、获取短信验证码 @PostMapping("/msg") @ApiOperation(value = "发送验证码", httpMethod = "POST") public R getMsg(@RequestBody String phone) { R r = new R(); boolean matches = phone.matches("^[0-9]*$"); ...
微信小程序开发】之微信授权登陆
weixin_74352229的博客
10-23 9372
微信授权登录是指用户通过微信账号登录第三方应用或网站的一种身份验证方式。当用户在第三方应用或网站上选择使用微信登录时,该应用或网站会跳转到微信登录页面,用户在此页面输入微信账号和密码进行登录。一旦用户成功登录授权,第三方应用或网站就能够获得用户在微信上的基本信息,如昵称、头像等,并用于用户在应用或网站上的个性化服务。这种授权登录方式方便用户快速登录第三方平台,同时减少了用户填写注册信息的麻烦。
支持多种登录模式的token方案设计(微信、支付宝登录等)和数据库设计含手机号绑定方法
Dream_it_possible!的博客
03-01 4691
文章目录
微信授权登录
2301_77766258的博客
05-19 205
/ 推荐使用wx.getUserProfile获取用户信息,开发者每次通过该接口获取用户个人信息均需用户确认。desc: '用于完善会员资料', // 声明获取用户个人信息后的用途,后续会展示在弹窗中,请谨慎填写。'msg' => 'code不能为空''msg' => '解析失败',// 开发者妥善保管用户快速填写的头像昵称,避免重复弹窗。'msg' => '登录成功'//微信授权登录第三方接口。//40029 code无效。、、、、、、、前端调用接口。//验证接口返回的错误码。
通过appId和appSecret生成accessToken访问api后端接口(接口授权)
曹俊的博客
03-20 3766
1、通过appId和内置关键词进入SHA-256算法生成APP Secret 2、将appId和accessToken存入redis进行TTL计时 3、判断请求的路径中是否携带正确的accessToken,返回相应的数据
微信小程序API----授权登录拿到用户头像昵称等信息
anjignren的博客
07-05 2951
微信小程序授权登录获取用户信息(头像昵称等)api解读以及使用
微信公众号菜单接口开发实战教程
这篇文档提供了微信公众号平台接口开发中菜单管理的核心技术,包括API调用、数据模型设计以及控制器的实现。这对于想要掌握公众号开发并有效管理用户交互流程的开发者来说,是一份实用的参考资料。通过理解和实践...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值