服务号token验证
发布于 5 年前 作者 yansun 758 次浏览 来自 问答

在服务号管理页面配置的token是mptokenauth,业务服务器收到了微信后台发过来的验证信息,如下:

{

   signature: ‘141bf3cd6f3fae94b0ddae3fb98c19931e068341’,

   echostr: ‘17047365527968675687’,

   timestamp: ‘1510823015’,

   nonce: ‘370631640’

}

根据文档里说的我把数据拿出来做验证,文档如下:

---------------------------------------------------文档开始-----------------------------------------------------------------

第二步:验证消息的确来自微信服务器

开发者提交信息后,微信服务器将发送GET请求到填写的服务器地址URL上,GET请求携带参数如下表所示:

参数
描述
signature微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。
timestamp时间戳
nonce随机数
echostr随机字符串


开发者通过检验signature对请求进行校验(下面有校验方式)。若确认此次GET请求来自微信服务器,请原样返回echostr参数内容,则接入生效,成为开发者成功,否则接入失败。加密/校验流程如下:

1)将token、timestamp、nonce三个参数进行字典序排序

2)将三个参数字符串拼接成一个字符串进行sha1加密

3)开发者获得加密后的字符串可与signature对比,标识该请求来源于微信

------------------------------------------------------文档结束--------------------------------------------------------------

我对其进行验证的js代码如下:

const crypto = require(‘crypto’)

const autodata = {

   signature: ‘141bf3cd6f3fae94b0ddae3fb98c19931e068341’,

   echostr: ‘17047365527968675687’,

   timestamp: ‘1510823015’,

   nonce: ‘370631640’

}

const sha1 = (str) => {

   var sha1sum = crypto.createHash(‘sha1’)

   sha1sum.update(str)

   str = sha1sum.digest(‘hex’)

   return str

}

var strall = autodata.nonce + autodata.timestamp + ‘mptokenauth’

var authsign = sha1(strall)

结果计算出来的字符串是c5f0c9e13bb89ec99014975effd568dc8a9d0501,跟消息里的签名不一致。

回到顶部