公众号验证
验证:加密(Token, timestamp, nonce)== signature
返回echostr
公众号回调加密加密
验证:加密(Token , timestamp, nonce 密文)==signature
然后解密,解密出AppId和明文
公众号第三方平台
推送Ticket时:
验证:加密(Token, timestamp, nonce)== signature,密文不参与验证
然后解密
回调
验证:加密(Token , timestamp, nonce 密文)==msg_signature
然后解密,解密出AppId和明文
这里的AppId是第三方平台的AppId ,而这里有需要用的msg_signature,同时传过来的signature不知道是干什么的
企业号第三方平台
推送Ticket和重新授权时
验证的时候密文需要参与:VerifySignature(m_sToken, sTimeStamp, sNonce, sEncryptMsg, sMsgSignature);
AppId是套件的AppId
授权企业号回调
加密解密时:密文和明文都需要参与校验
AppId是企业Id即所谓CorpId
弄明白这些东东真可以搞死人