熱門標(biāo)簽
- 梧桐湖新區(qū)網(wǎng)站設(shè)計公司
- 鄧關(guān)網(wǎng)頁制作公司
- 曹江網(wǎng)頁制作
- 康大營網(wǎng)站建設(shè)公司
- 柳溝網(wǎng)站制作公司
- 雁鳴湖營銷型網(wǎng)站建設(shè)
- 高鐵嶺網(wǎng)站推廣
- 喇嘛甸網(wǎng)站定制
- 歐美網(wǎng)站設(shè)計模板
- 殪虎橋制作網(wǎng)站
- 手機網(wǎng)站設(shè)計怎么寫
- 東寧網(wǎng)站優(yōu)化
- 姚伏網(wǎng)站開發(fā)公司
- 烏拉哈SEO優(yōu)化
- 滋鎮(zhèn)網(wǎng)站制作
- 三個莊子網(wǎng)絡(luò)營銷
- 殷巷網(wǎng)站制作
- 濮陽SEO
- 火磨網(wǎng)站設(shè)計
- 果瓦SEO
微信access_token設(shè)計的原理解析
2017/1/14 11:26:00 來源:網(wǎng)站建設(shè)公司
內(nèi)容摘要:深圳專業(yè)的網(wǎng)站建設(shè)公司,業(yè)務(wù)包含網(wǎng)站建設(shè)、網(wǎng)站設(shè)計、網(wǎng)站制作、網(wǎng)頁設(shè)計等服務(wù)的高端網(wǎng)站建設(shè)公司。為企業(yè)提供網(wǎng)站建設(shè)一站式服務(wù)。
微信access_token設(shè)計的原理解析1、access_token是加密的字符串,其目的是為了接口安全考慮,不然隨便就能調(diào)用微信服務(wù)器的接口會有很大風(fēng)險。
2、用戶在公眾號中填寫的Token就相當(dāng)于本項目中的xiaoming,是簽名驗證中的一個參數(shù),來保證簽名的安全。
3、EncodingAESKey由開發(fā)者手動填寫或隨機生成,將用作消息體加解密密鑰。
4、signature:微信加密簽名,signature結(jié)合了開發(fā)者填寫的token參數(shù)和請求中的timestamp參數(shù)、nonce參數(shù)。
5、timestamp:時間戳。
6、nonce:隨機數(shù)。
7、echostr:隨機字符串。
8、微信signature加密/校驗流程:
?。?)將token、timestamp、nonce三個參數(shù)進(jìn)行字典序排序。
(2)將三個參數(shù)字符串拼接成一個字符串進(jìn)行sha1加密。
?。?)開發(fā)者獲得加密后的字符串可與signature對比,標(biāo)識該請求來源于微信。
9、OpenID:為了識別用戶,每個用戶針對每個公眾號會產(chǎn)生一個安全的OpenID,OpenID是使用用戶微信號加密后的結(jié)果,每個用戶對每個公眾號有一個的OpenID,開發(fā)者可通過OpenID來獲取用戶基本信息。
10、UnionID:用來區(qū)分用戶的性,因為只要是同一個微信開放平臺帳號下的移動應(yīng)用、網(wǎng)站應(yīng)用和公眾帳號,用戶的UnionID是的。換句話說,同一用戶,對同一個微信開放平臺帳號下的不同應(yīng)用,UnionID是相同的。
11、AppID:接口身份證號。
12、AppSecret:密碼。
13、access_token:公眾號的全局票據(jù)(登陸后的憑據(jù),證明你已經(jīng)登陸,相當(dāng)于你拿著票去看演唱會,說明你已經(jīng)買票了,才會讓你進(jìn))。
14、expires_in:access_token過期時間,因為這里是第三方服務(wù)器調(diào)用,所以微信服務(wù)器必須返回告知給第三方服務(wù)器過期時間,從而讓第三方服務(wù)器更好處理。
15、access_token使用注意事項:
?。?)為了保密appsecrect,第三方需要一個access_token獲取和刷新的中控服務(wù)器。而其他業(yè)務(wù)邏輯服務(wù)器所使用的access_token均來自于該中控服務(wù)器,不應(yīng)該各自去刷新,否則會造成access_token覆蓋而影響業(yè)務(wù)。
(2)目前access_token的有效期通過返回的expire_in來傳達(dá),目前是7200秒之內(nèi)的值。中控服務(wù)器需要根據(jù)這個有效時間提前去刷新新access_token。在刷新過程中,中控服務(wù)器對外輸出的依然是老access_token,此時公眾平臺后臺會保證在刷新短時間內(nèi),新老access_token都可用,這保證了第三方業(yè)務(wù)的平滑過渡。
?。?)3、access_token的有效時間可能會在未來有調(diào)整,所以中控服務(wù)器不僅需要內(nèi)部定時主動刷新,還需要提供被動刷新access_token的接口,這樣便于業(yè)務(wù)服務(wù)器在API調(diào)用獲知access_token已超時的情況下,可以觸發(fā)access_token的刷新流程。
16、access_token兩小時過期時間的設(shè)計原因(網(wǎng)絡(luò)解釋):access_token的過期也是為安全考慮。
?。?)想象一種情況,我授權(quán)了一個應(yīng)用,它拿到了我的access_token,然后我忘記我授權(quán)過了,于是我以后每次發(fā)布的內(nèi)容都被它拿去存起來,或者它利用我的賬號偷偷的發(fā)消息,我一點都不知道。這種情況還是很可怕的。
?。?)如果只是做登錄,確實不需要accesstoken,因為已經(jīng)有openid或者uid跟你的用戶對應(yīng)起來了。但是,這是授權(quán)行為啊,意味這第三方應(yīng)用可以拿著accesstoken去取你的數(shù)據(jù)啊。所以這里就需要時效性來保證安全了。
17、微信access_token兩小時過期時間的設(shè)計原因(自我理解):微信的token兩小時刷新一次是因為第三方服務(wù)器接入微信服務(wù)器,目的是獲取微信服務(wù)器中的數(shù)據(jù),也就是所謂的第三方登陸,用戶通過第三方服務(wù)器登陸,第三方服務(wù)器再去微信平臺獲取數(shù)據(jù),這樣就需要一個授權(quán)的過程,也就是說微信服務(wù)器同意你某個第三方服務(wù)器獲取數(shù)據(jù)才行,為了把控這個授權(quán)過程,不會因為授權(quán)之后就一直能獲取微信服務(wù)器數(shù)據(jù)這種情況的發(fā)生,所以才有了兩小時刷新一次。
18、微信服務(wù)器接口訪問次數(shù)限制:微信服務(wù)器接口訪問限制次數(shù)是為了防止第三方服務(wù)器因為程序錯誤無限調(diào)用微信服務(wù)器從而使得微信服務(wù)器崩潰,所以才有的訪問次數(shù)限制。
19、簽名驗證:驗證消息的確來自微信服務(wù)器(本項目中為:驗證參數(shù)的確來自于本項目安卓客戶端)。
http://79806.xyz/jianzhanzhishi/7174.html 微信access_token設(shè)計的原理解析
特別聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:0755-85297058;郵箱:2295772445#qq.com (#替換成@)。