中文字幕日韩精品一区二区免费_精品一区二区三区国产精品无卡在_国精品无码专区一区二区三区_国产αv三级中文在线

微信access_token設計的原理解析

2022-12-02    分類: 網(wǎng)站建設

網(wǎng)站建設- 建站教程 - 網(wǎng)頁設計- 微信access_token設計的原理解析
微信access_token設計的原理解析

1、access_token是加密的字符串,其目的是為了接口安全考慮,不然隨便就能調(diào)用微信服務器的接口會有很大風險。

2、用戶在公眾號中填寫的Token就相當于本項目中的xiaoming,是簽名驗證中的一個參數(shù),來保證簽名的安全。

3、EncodingAESKey由開發(fā)者手動填寫或隨機生成,將用作消息體加解密密鑰。

4、signature:微信加密簽名,signature結(jié)合了開發(fā)者填寫的token參數(shù)和請求中的timestamp參數(shù)、nonce參數(shù)。

5、timestamp:時間戳。

6、nonce:隨機數(shù)。

7、echostr:隨機字符串。

8、微信signature加密/校驗流程:

(1)將token、timestamp、nonce三個參數(shù)進行字典序排序。

(2)將三個參數(shù)字符串拼接成一個字符串進行sha1加密。

(3)開發(fā)者獲得加密后的字符串可與signature對比,標識該請求來源于微信。

9、OpenID:為了識別用戶,每個用戶針對每個公眾號會產(chǎn)生一個安全的OpenID,OpenID是使用用戶微信號加密后的結(jié)果,每個用戶對每個公眾號有一個的OpenID,開發(fā)者可通過OpenID來獲取用戶基本信息。

10、UnionID:用來區(qū)分用戶的性,因為只要是同一個微信開放平臺帳號下的移動應用、網(wǎng)站應用和公眾帳號,用戶的UnionID是的。換句話說,同一用戶,對同一個微信開放平臺帳號下的不同應用,UnionID是相同的。

11、AppID:接口身份證號。

12、AppSecret:密碼。

13、access_token:公眾號的全局票據(jù)(登陸后的憑據(jù),證明你已經(jīng)登陸,相當于你拿著票去看演唱會,說明你已經(jīng)買票了,才會讓你進)。

14、expires_in:access_token過期時間,因為這里是第三方服務器調(diào)用,所以微信服務器必須返回告知給第三方服務器過期時間,從而讓第三方服務器更好處理。

15、access_token使用注意事項:

(1)為了保密appsecrect,第三方需要一個access_token獲取和刷新的中控服務器。而其他業(yè)務邏輯服務器所使用的access_token均來自于該中控服務器,不應該各自去刷新,否則會造成access_token覆蓋而影響業(yè)務。

(2)目前access_token的有效期通過返回的expire_in來傳達,目前是7200秒之內(nèi)的值。中控服務器需要根據(jù)這個有效時間提前去刷新新access_token。在刷新過程中,中控服務器對外輸出的依然是老access_token,此時公眾平臺后臺會保證在刷新短時間內(nèi),新老access_token都可用,這保證了第三方業(yè)務的平滑過渡。

(3)3、access_token的有效時間可能會在未來有調(diào)整,所以中控服務器不僅需要內(nèi)部定時主動刷新,還需要提供被動刷新access_token的接口,這樣便于業(yè)務服務器在API調(diào)用獲知access_token已超時的情況下,可以觸發(fā)access_token的刷新流程。

16、access_token兩小時過期時間的設計原因(網(wǎng)絡解釋):access_token的過期也是為安全考慮。

(1)想象一種情況,我授權(quán)了一個應用,它拿到了我的access_token,然后我忘記我授權(quán)過了,于是我以后每次發(fā)布的內(nèi)容都被它拿去存起來,或者它利用我的賬號偷偷的發(fā)消息,我一點都不知道。這種情況還是很可怕的。

(2)如果只是做登錄,確實不需要accesstoken,因為已經(jīng)有openid或者uid跟你的用戶對應起來了。但是,這是授權(quán)行為啊,意味這第三方應用可以拿著accesstoken去取你的數(shù)據(jù)啊。所以這里就需要時效性來保證安全了。

17、微信access_token兩小時過期時間的設計原因(自我理解):微信的token兩小時刷新一次是因為第三方服務器接入微信服務器,目的是獲取微信服務器中的數(shù)據(jù),也就是所謂的第三方登陸,用戶通過第三方服務器登陸,第三方服務器再去微信平臺獲取數(shù)據(jù),這樣就需要一個授權(quán)的過程,也就是說微信服務器同意你某個第三方服務器獲取數(shù)據(jù)才行,為了把控這個授權(quán)過程,不會因為授權(quán)之后就一直能獲取微信服務器數(shù)據(jù)這種情況的發(fā)生,所以才有了兩小時刷新一次。

18、微信服務器接口訪問次數(shù)限制:微信服務器接口訪問限制次數(shù)是為了防止第三方服務器因為程序錯誤無限調(diào)用微信服務器從而使得微信服務器崩潰,所以才有的訪問次數(shù)限制。

19、簽名驗證:驗證消息的確來自微信服務器(本項目中為:驗證參數(shù)的確來自于本項目安卓客戶端)。

網(wǎng)站名稱:微信access_token設計的原理解析
地址分享:http://www.rwnh.cn/news17/218767.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供移動網(wǎng)站建設網(wǎng)站策劃、外貿(mào)建站手機網(wǎng)站建設、企業(yè)建站電子商務

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

h5響應式網(wǎng)站建設
阿荣旗| 河曲县| 阿拉善右旗| 东山县| 台江县| 华容县| 高青县| 晋城| 莲花县| 白城市| 青阳县| 平安县| 伊川县| 登封市| 隆德县| 隆子县| 汝阳县| 拜泉县| 葵青区| 天全县| 兰州市| 宽城| 镇安县| 嘉荫县| 烟台市| 涪陵区| 皋兰县| 安阳市| 阿瓦提县| 潮州市| 武夷山市| 金塔县| 长岭县| 白玉县| 道孚县| 河津市| 定襄县| 汉沽区| 通州市| 获嘉县| 磴口县|