关于微信签名权限验证

前言

前端在使用任何微信接口前,都必须先进行微信config的权限注入,如下:

wx.config({
    debug: true, // 开启调试模式,调用的所有api的返回值会在客户端alert出来,若要查看传入的参数,可以在pc端打开,参数信息会通过log打出,仅在pc端时才会打印。
    appId: '', // 必填,公众号的唯一标识
    timestamp: , // 必填,生成签名的时间戳
    nonceStr: '', // 必填,生成签名的随机串
    signature: '',// 必填,签名
    jsApiList: [] // 必填,需要使用的JS接口列表
});

其中三个参数timestamp(时间戳)、nonceStr(随机字符串)、signature(签名),建议通过后端接口传递给前端,而signature依赖于前两个参数生成,本文将引用官方文档,详细介绍生成signature的方法和注意事项

正篇

1.不得不了解的jsapi_ticket

在生成签名之前
jsapi_ticket是公众号用于调用微信JS接口的临时票据,正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取(token的获取方法后面会介绍)。
Tip:由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,所以建议开发者在自己的服务全局缓存jsapi_ticket 。

1.获取access_token,详情见后文(有效期7200秒,开发者必须在自己的服务全局缓存access_token)

2.用第一步拿到的access_token 采用http GET方式请求以下接口,获得jsapi_ticket(有效期7200秒,开发者必须在自己的服务全局缓存jsapi_ticket):
https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=ACCESS_TOKEN&type=jsapi

成功返回如下JSON:

{
	"errcode": 0,
	"errmsg": "ok",
	// ticket字段就是我们需要的 jsapi_ticket
	"ticket": "bxLdikRXVbTPdHSM05e5u5sUoXNKd8-41ZO3MhKoyN5OfkWITDGgnr2fwJ0m9E8NYzWKVZvdVtaUgWvsdshFKA",  
	"expires_in": 7200
}

获得jsapi_ticket之后,就可以生成JS-SDK权限验证的签名了。

2.签名算法

签名生成规则如下:参与签名的字段包括
jsapi_ticketnoncestr(随机字符串)、timestamp(时间戳),、url(当前网页的URL,不包含#及其后面部分) 。
Tip:所有参数名均为小写字符,字段名和字段值都采用原始值,不进行URL 转义。

示例参数:

	jsapi_ticket = "sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg";
    noncestr = "Wm3WZYTPz0wzccnW";
    timestamp = 1414587457;
    url = "http://mp.weixin.qq.com?params=value";
步骤1

将这几个参数按照字段名的ASCII 码从小到大排序后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串originSignature

originSignature = "jsapi_ticket=" + jsapi_ticket + 
				  "&noncestr=" + noncestr + 
				  "&timestamp=" + timestamp + 
				  "&url=" + url; 
// "jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg&noncestr=Wm3WZYTPz0wzccnW&timestamp=1414587457&url=http://mp.weixin.qq.com?params=value"
步骤2

对originSignature 进行sha1签名,得到signatur:

signature = sha1(originSignature); // "0f9de62fce790f9a083d5c99e95740ceb90c27ed"
注意事项

1.签名用的noncestr和timestamp必须与wx.config中的nonceStr和timestamp相同。

2.签名用的url必须是调用JS接口页面的完整URL。

3.出于安全考虑,开发者必须在服务器端实现签名的逻辑。

如出现invalid signature 等错误详见微信官方JDK说明文档,附录5:
https://mp.weixin.qq.com/wiki?action=doc&id=mp1421141115&t=0.5371625224048855#66

上一篇:微信公众号配置及微信jsAPI支付


下一篇:paybob支付平台介绍(个人支付接口)