2017-11-08毅耘科技3474

微信access_token设计的原理解析

微信access_token设计的原理解析【毅耘科技】　　微信access_token设计的原理解析

　　1、access_token是加密的字符串，其目的是为了接口安全考虑，不然随便就能调用微佩服务器的接口会有很大风险。

　　2、用户在公众号中填写的Token就相称于本项目中的xiaoming，是签名验证中的一个参数，来保证签名的安全。

　　3、EncodingAESKey由开发者手动填写或随机生成，将用作新闻体加解密密钥。

　　4、signature：微信加密签名，signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。

　　5、timestamp：时间戳。

　　6、nonce：随机数。

　　7、echostr：随机字符串。

　　8、微信signature加密/校验流程：

　　（1）将token、timestamp、nonce三个参数进行字典序排序。

　　（2）将三个参数字符串拼接成一个字符串进行sha1加密。

　　（3）开发者获得加密后的字符串可与signature对比网站建设报价，标识该请求来源于微信。

　　9、OpenID：为了识别用户，每个用户针对每个公众号会产生一个安全的OpenID，OpenID是使用用户微旌旗灯号加密后的效果，每个用户对每个公众号有一个唯一的OpenID，开发者可通过OpenID来获取用户基本信息。

　　10、UnionID：用来区分用户的唯一性，由于只要是统一个微信开放平台帐号下的移动应用、网站应用和公众帐号四川成都人事考试网，用户的UnionID是唯一的。换句话说，统一用户，对统一个微信开放平台帐号下的不同应用，UnionID是雷同的。

　　11、AppID：接口身份证号。

　　12、AppSecret：密码。

　　13、access_token：公众号的全局唯一票据（登陆后的凭据，证实你已经登陆，相称于你拿着票去看演唱会，说明你已经买票了，才会让你进）。

　　14、expires_in：access_token过期时间，由于这里是第三方服务器调用，所以微佩服务器必须返回告知给第三方服务器过期时间，从而让第三方服务器更益处理。

　　15、access_token使用细致事项：

　　（1）为了保密appsecrect，第三方必要一个access_token获取和刷新的中控服务器。而其他营业逻辑服务器所使用的access_token均来自于该中控服务器，不应该各自去刷新，否则会造成access_token覆盖而影响营业。

　　（2）目前access_token的有用期通过返回的expire_in来传达，目前是7200秒之内的值。中控服务器必要根据这个有用时间提前去刷新新access_token。在刷新过程中，中控服务器对外输出的依然是老access_token，此时公众平台后台会保证在刷新短时间内，新老access_token都可用，这保证了第三方营业的平滑过渡。

　　（3）3、access_token的有用时间可能会在将来有调整，所以中控服务器不仅必要内部准时自动刷新，还必要提供被动刷新access_token的接口，如许便于营业服务器在API调用获知access_token已超时的情况下，可以触发access_token的刷新流程。

　　16、access_token两小时过期时间的设计缘故原由（网络诠释）：access_token的过期也是为安全考虑。

　　（1）想象一种情况，我授权了一个应用，它拿到了我的access_token，然后我忘掉我授权过了，于是我以后每次发布的内容都被它拿去存起来，或者它行使我的账号偷偷的发新闻，我一点都不知道。这种情况照旧很可怕的。

　　（2）假如只是做登录，确实不必要accesstoken，由于已经有openid或者uid跟你的用户对应起来了。但是，这是授权举动啊金王子驾驶室总成，意味这第三方应用可以拿着accesstoken去取你的数据啊。所以这里就必要时效性来保证安全了。

　　17、微信access_token两小时过期时间的设计缘故原由（自我理解）：微信的token两小时刷新一次是由于第三方服务器接入微佩服务器，目的是获取微佩服务器中的数据，也就是所谓的第三方登陆，用户通过第三方服务器登陆，第三方服务器再去微信平台获取数据，如许就必要一个授权的过程，也就是说微佩服务器赞成你某个第三方服务器获取数据才行，为了把控这个授权过程，不会由于授权之后就一向能获取微佩服务器数据这种情况的发生，所以才有了两小时刷新一次。

　　18、微佩服务器接口访问次数限定：微佩服务器接口访问限定次数是为了防止第三方服务器由于程序错误无穷调用微佩服务器从而使得微佩服务器崩溃，所以才有的访问次数限定。

　　19、签名验证：验证新闻的确来自微佩服务器（本项目中为：验证参数的确来自于本项目安卓客户端）。

本文标题：微信access_token设计的原理解析

本文网址：http://www.yiyuncloud.com/index/index/solutions_detail/id/543.html

文章标签：合肥APP开发合肥软件开发合肥o2o社区合肥商城开发合肥B2B2C商城开发

毅耘科技（www.yiyuncloud.com）是一家拥有新型网站建设与程序开发经验的公司，致力于解决企业网络服务问题，紧跟着网络变化的步伐，为企业提供网络科技服务。平台服务：品牌网站建设、网站开发、微信开发、APP开发、软件开发、网校系统开发、多用户商城开发、分销商城开发、微商城、一元云购系统开发、O2O系统开发、商标注册、网络营销等项目。是专业为企业提升价值的公司。

分享到：

←上一篇文章

下一篇文章→

搜索关键词