在服务号管理页面配置的token是mptokenauth，业务服务器收到了微信后台发过来的验证信息，如下：

{

   signature: ‘141bf3cd6f3fae94b0ddae3fb98c19931e068341’,

   echostr: ‘17047365527968675687’,

   timestamp: ‘1510823015’,

   nonce: ‘370631640’

}

根据文档里说的我把数据拿出来做验证，文档如下：

---------------------------------------------------文档开始-----------------------------------------------------------------

第二步：验证消息的确来自微信服务器

开发者提交信息后，微信服务器将发送GET请求到填写的服务器地址URL上，GET请求携带参数如下表所示：

开发者通过检验signature对请求进行校验（下面有校验方式）。若确认此次GET请求来自微信服务器，请原样返回echostr参数内容，则接入生效，成为开发者成功，否则接入失败。加密/校验流程如下：

1）将token、timestamp、nonce三个参数进行字典序排序

2）将三个参数字符串拼接成一个字符串进行sha1加密

3）开发者获得加密后的字符串可与signature对比，标识该请求来源于微信

------------------------------------------------------文档结束--------------------------------------------------------------

我对其进行验证的js代码如下:

const crypto = require(‘crypto’)

const autodata = {

   signature: ‘141bf3cd6f3fae94b0ddae3fb98c19931e068341’,

   echostr: ‘17047365527968675687’,

   timestamp: ‘1510823015’,

   nonce: ‘370631640’

}

const sha1 = (str) => {

   var sha1sum = crypto.createHash(‘sha1’)

   sha1sum.update(str)

   str = sha1sum.digest(‘hex’)

   return str

}

var strall = autodata.nonce + autodata.timestamp + ‘mptokenauth’

var authsign = sha1(strall)

结果计算出来的字符串是c5f0c9e13bb89ec99014975effd568dc8a9d0501，跟消息里的签名不一致。