微信小程序用户数据的签名校验和加解密 - 后端nodejs

最新推荐文章于 2022-11-06 13:06:49 发布
最新推荐文章于 2022-11-06 13:06:49 发布
阅读量2.1w 收藏 11
点赞数 3
分类专栏: nodejs 微信小程序 微信小程序开发总结 文章标签: 微信小程序 加密解密 nodejs request promise
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzwwjjdj1/article/details/79351973
版权

在本文 微信小程序用户数据的签名校验和加解密 之前需要先看看

微信小程序-获取用户session_key,openid,unionid - 后端为nodejs

代码封装是在上文添加的。

小程序代码:

1、在utils下的wechat.js文件里添加代码

  /**
   * 获取微信加密的数据,传递给后端
   */
  static getCryptoData2() {
    let code = "";
    return this.login()
      .then(data => {
        code = data.code;
        console.log("login接口获取的code:", code);
        return this.getUserInfo();
      })
      .then(data => {
        console.log("getUserInfo接口", data);
        let { encryptedData, iv, rawData, signature } = data;
        let obj = {
          js_code: code,
          rawData,
          signature,
          encryptedData,
          iv
        };
        return Promise.resolve(obj);
      })
      .catch(e => {
        console.log(e);
        return Promise.reject(e);
      })
  };
  /**
   * 从后端获取解密后的数据
   * @param {object} params 
   */
  static getMyData(params) {
    let url = 'https://xx.xxxxxx.cn/api/cryptdata';
    return this.request(url, params, "POST", "application/x-www-form-urlencoded");
  };
2、app.js修改 

let wechat = require('./utils/wechat.js');
App({
  onLaunch() {
    this.getUserInfo();
  },
  getUserInfo() {
    wechat.getCryptoData2()
      .then(d => {
        return wechat.getMyData(d);
      })
      .then(d => {
        console.log("从后端获取解密的数据", d.data);
      })
      .catch(e => {
        console.log(e);
      })
  }
})

后端 nodejs代码
解密实例代码在官网有:有python,nodejs,PHP,C++版本, 下载地址

1、解压后把nodejs里的WXBizDataCrypt.js文件放到common文件夹下;

2、新增一个路由,router,需要用到sha1模块

router.post("/cryptdata", async (req, res) => {
  let WXBizDataCrypt = require('../common/WXBizDataCrypt')
  const sha1 = require("sha1");
  try {
    let appId = "wx70XXXXXXXed01b";
    let secret = "5ec6e1cXXXXXXXXXbf161a79dd4";
    let { encryptedData, iv, js_code, rawData, signature } = req.body;
    // 获取session_key
    let opts = {
      url: `https://api.weixin.qq.com/sns/jscode2session?appid=${appId}&secret=${secret}&js_code=${js_code}&grant_type=authorization_code`
    }
    let r1 = await Ut.promiseReq(opts);
    let { session_key } = JSON.parse(r1);
    if (!session_key) return res.json('');
    // 数据签名校验
    let signature2 = sha1(rawData + session_key);
    if (signature != signature2) return res.json("数据签名校验失败");
    // 解密
    let pc = new WXBizDataCrypt(appId, session_key)

    let data = pc.decryptData(encryptedData, iv)

    console.log('解密后 data: ', data)
    res.json(data);
  }
  catch (e) {
    console.log(e);
    res.json('');
  }
})
结果:


可以看出和上文很像,其实这2步一般都是一起做的,如果不需要数据校验,上文

就可以,需要数据校验就要用到本文的代码了。

参考地址:

https://mp.weixin.qq.com/debug/wxadoc/dev/api/signature.html

意外金喜的博客:http://blog.csdn.net/zzwwjjdj1



意外金喜
关注
专栏目录
微信小程序开发中的表单提交与数据验证
wx_linying1029的博客
08-13 472
在代码中,我们首先通过bindsubmit属性绑定了表单提交事件submitForm,当用户点击提交按钮时,该事件会触发。在路由中,我们通过req.body获取到表单数据,并进行了与前端相同的数据验证。数据验证指的是在表单提交前,对用户输入的数据进行验证,确保数据的合法性。在表单提交之前,我们通过validateFormData方法对数据进行了简单的验证,但这种验证只是前端验证,不能完全保证数据的合法性。通过对表单数据的前端和后端验证,我们可以确保数据的合法性,并提供友好的错误提示。
一篇文章 - 轻松入门微信小程序
zyh1841474614的博客
01-10 3916
以前学习微信小程序开发时候的笔记,希望能对大家有帮助
微信小程序 请求加签名验证(MD5)
胖达的博客
01-29 6647
第一步:创建request.js const Promise = require('es6-promise').Promise const util = require('./util.js'); const utils = util.default.util.prototype; //签名参数 这个两个参数是后台给的 const key = 'cdbbf90ec69b7f9df6ff...
java登入ajxs_微信小程序之获取并解密用户数据(获取openid,nickName等)
weixin_35676504的博客
02-23 370
本文主要总结微信小程序通过后台请求访问微信用户信息创建一个微信小程序工程(自行百度)微信小程序index.js代码//index.js//获取应用实例const app = getApp()Page({data: {motto: 'Hello World',userInfo: {},backUserInfo:{},//后台得到的微信用户信息hasUserInfo: false,canIUse: ...
Java解析微信用户数据签名验证和加解密(微信小程序)----demo工具代码齐全可直接使用
李虹柏的博客
04-19 987
maven pom 依赖导入 <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>1.9</v...
java 接口签名 参数名按ASCII码从小到大排序(字典序)+key+MD5+转大写签名
吕行的博客
01-24 1万+
/** * sign 签名 (参数名按ASCII码从小到大排序(字典序)+key+MD5+转大写签名) * @param map * @return */ public static String encodeSign(SortedMap&lt;String,String&gt; map,String key){ if(StringUtils.isEmpty(key)){ ...
微信php签名验证_微信小程序API 用户数据签名验证和加解密
weixin_42157166的博客
03-08 559
微信小程序API 用户数据签名验证和加解密用户数据签名验证和加解密数据签名校验为了确保 开放接口 返回用户数据的安全性,微信会对明文数据进行签名。开发者可以根据业务需要对数据包进行签名校验,确保数据的完整性。签名校验算法涉及用户的session_key,通过 wx.login 登录流程获取用户session_key,并自行维护与应用自身登录态的对应关系。通过调用接口(如 wx.getUserI...
微信小程序学习指南
weixin_30446197的博客
12-13 3379
作者:初雪链接:https://www.zhihu.com/question/50907897/answer/128494332来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 微信小程序正式公测, 张小龙全面阐述小程序,定档1月9日上线(附90分钟演讲全文) ... 前言:新人第一坑,跳坑指南:修改后,必须保存;ctrl+S; 1:官方工具:http...
微信小程序资料集(下)
米饭超人的专栏
03-15 1706
**8月18日小程序Demo集合** [微信小程序Demo:股票分时图、K线图](简书) [微信小程序精品Demo:知乎日报](简书) [微信小程序Demo:事项助手(在日历上添加事件备注)](简书) [微信小程序D...
两百条微信小程序开发跳坑指南(不定时更新)
Dreawer微信小程序联盟
07-06 9479
微信小程序联盟出品 跳坑textarea《二百二十三》不显示文本及textarea相关问题集合 跳坑《二百一十三》 background-image无法获取本地资源图片、... 跳坑《二百一十二》单位rpx/px/em/vh使用说明 跳坑《二百一十一》转发API:onShareAppMessage使用 跳坑《二百一十》使用模拟数据mock.js 跳坑《二百零九》textar
jwt token 附加用户信息_JWT(json-web-token) 详解及应用
weixin_39664560的博客
12-24 818
JWT(json-web-token) 详解及应用什么是JWTJson web token(JWT)是为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519),该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所...
微信小程序-微信小程序-RSA-签名-验签-加密-解密
08-06
> 一个适用于微信小程序的RSA签名库。 RSA签名小程序DEMO:https://github.com/zhangzhaopds/WeixinApp_RSA_Signature.git 使用 1、引入文件 var RSA = require('../../utils/wxapp_rsa.js') 2、调用 var privateKey_pkcs1 = '-----BEGIN RSA PRIVATE KEY-----MIICXQIBAAKBgQCk7WKdggwBOtteLL5sPom8RYCjuw0hy6R1jH39tCaep1Dns02bi4CYHk2dSR / t0ABgF5pHYeMxHa74Dp6Z6SjfAKMUu53BbTR615ehK 03BjtzJzviTF1 / NtLmGaR3aawrDp7oQgq33dfIYbWLuAMkHNiWaoXaGyHh3a8jS2vxfQIDAQABAoGAIKRnLzts tVWU5ZRfgUGp7 tzToZSEYQ378VtJ / yQNZmueUQCCgdJH5i6C1v51aSrHIfc99Y4wC3/ 5q
微信小程序解密encryptedData用户信息所需js
08-20
微信小程序获取包括unionId在内的用户敏感信息,解密插件Crypto.js
微信小程序中的session_key的使用方法
热门推荐
码农老牛
03-20 2万+
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/signature.html
详解用 MiniFramework 框架实现 PHP 对 GET 或 POST 请求参数进行签名校验的方法
11-06 686
在一些特殊场景下,我们可能希望对于 GET 或 POST 进入到接口的数据进行签名和有效期的校验,例如 APP 请求后端接口的场景,我们通常需要考虑两个问题:问题 1:如何避免攻击者在捕获到接口请求后,自行构造请求参数,向接口发送请求,而不通过 APP 的正常界面进行操作。问题 2:在接口请求不可避免能被捕获的情况下,如何确保每一次请求能够过期,不被反复的利用,例如投票刷票的问题。
记一次逆向破解微信小程序参数签名
道阻且长,行则将至。
02-04 2601
文章目录前言小程序逆向基础知识储备逆向环境准备反编译出源码破解签名算法源码算法分析脚本计算签名插件自动替换总结 前言 在一个平淡无奇的午后,接到领导分配的一个渗透测试任务——某微信小程序。老规矩,倒了杯茶,准备开始新一天轰轰烈烈的工作(摸鱼)。 然鹅,BurpSuite 上号不到 2 min 我就发现今天的砖头有点烫手了(晚饭可能都不香了)……事情是这样的: 没错,这货不讲武德,直接加了个时间戳参数timestamp、签名参数signature用来反正数据包重放……这还玩个锤子! 这我还能说啥,合上电脑准备
微信小程序开发之——用户登录-开放数据校验与解密(6)
我的博客
09-23 1361
一 概述 小程序端获取到的用户信息通过wx.request发送给开发者服务器 开发者服务器无法辨别数据的真伪(如发送虚假用户信息) 小程序提供了开发数据校验和解密机制 二 获取用户信息 2.1 代码 wx.getUserInfo({ success:res=>{ console.log("getUserInfo",res); } }) 2.2 用户信息结果 2.3 结果说明 参数 说明 errMsg 错误信息 userInfo
基于node搭建前端服务器,nodejs微信小程序后端
纸尿裤排行
09-11 4126
有基础的自然是使用自己拿手的语言,零基础的话个人觉得nodejs是不错的选择,我选择用nodejs的原因是学习成本低,小程序端js开发,app目前我也是采用跨平台的flutter,语法相近。1小程序注册2小程序信息完善及开发前准备3开发者工具的使用4代码审核与发布小程序可以自己制作,也可以以个人名义申请,只不过跟企业名义申请,缺少了几个重要的功能。这是小编试验的得出来的结果。小程序需要做后端也需要做前端,后端主要做上传产品和内容,前端主要负责小程序页面的布局,就是用户一点小程序进去看到的所有画面。
小程序数据签名校验-Java端
weixin_30673611的博客
01-12 503
JDK内置的签名算法不包含小程序需要的(对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充),所以需要引用第三方jar。 compile group: 'org.bouncycastle', name: 'bcprov-jdk15on', version: '1.54' 以下是具体的代码: //自行在构造函数中赋值 String sessi...
微信小程序rsa加密,配合nodejs解密
最新发布
09-21
微信小程序的RSA加密通常用于安全地传输数据,比如API请求的签名验证。Node.js是一个流行的JavaScript运行环境,可以方便地处理这种加密操作。以下是基本流程: 1. **生成公钥和私钥**:在服务器端(Node.js环境中),你需要创建一对公钥和私钥,公钥用于加密,私钥用于解密。 ```javascript const crypto = require('crypto'); const { createKeyPair } = crypto; const [publicKey, privateKey] = await createKeyPair('rsa', { modulusLength: 2048, }); ``` 2. **客户端发送数据**:用户微信小程序发起请求前,会将需要加密的数据和公钥通过HTTPS发送到服务器。 3. **服务器接收并加密**:接收到请求后,服务端用用户的公钥对数据进行加密。 ```javascript const encryptData = async (plaintext, publicKey) => { const buffer = Buffer.from(plaintext, 'utf8'); return crypto.publicEncrypt(publicKey, buffer).toString('base64'); } ``` 4. **服务器解密**:当收到加密数据后,服务器使用私钥进行解密。 ```javascript const decryptData = async (encryptedData, privateKey) => { const buffer = Buffer.from(encryptedData, 'base64'); return crypto.privateDecrypt(privateKey, buffer).toString(); } ``` 5. **验证和返回数据**:服务端解密数据后,检查其有效性(如校验签名),然后返回给用户。 **相关问题**: 1. 如何在微信小程序中获取并使用服务器的公钥? 2. 解密失败的原因可能有哪些? 3. 这种加密方式如何防止中间人攻击?
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值