摘要:題外話微信公眾號開發(fā)接口里面��,是通過調(diào)用微信的接口的��。生成方式如下接口調(diào)用請求說明請求方式通過傳給微信后臺��,后臺就會返回��,這個是有有效期的�����,有點類似瀏覽器登錄����。正常情況下�,微信會返回下述數(shù)據(jù)不過個人覺得傳的方式不太優(yōu)雅。
用戶認證
后臺服務要提供公共接口給用戶調(diào)用�����,必須要提供認證機制��,一旦用戶認證通過��,才讓用戶調(diào)用API����。對于次,可以通過(access_key���,secret_access_key)來認證�。
這個(access_key,secret_access_key)是成對存在的����。用戶要調(diào)用API必須要申請這樣的一對數(shù)據(jù)。一般工作流程是:
用戶在前端申請access key
服務器在后臺生成(access_key�����,secret_access_key)����,然后存進數(shù)據(jù)庫,然后把這對數(shù)據(jù)返回給用戶
用戶的調(diào)用API流程是:
通過secret_access_key來給請求參數(shù)簽名����,并且把簽名附加到請求里,然后發(fā)請求給服務器
服務器通過請求里的參數(shù)access_key來查詢數(shù)據(jù)庫里的secret_access_key���,然后用secret_access_key計算請求參數(shù)的簽名是否跟請求里的簽名一致����,一致則確認用戶身份�����,不一致則拒絕訪問。
簽名
接下來介紹給參數(shù)簽名的方法���。如果請求參數(shù)如下:
{
"name": "fami",
"address": "pek"
}
把access_key加進這個請求里:
{
"name": "fami",
"address": "pek",
"access_key": "abc"
}
將這些參數(shù)按key的字母升序排序����,然后以key=value的形式表示����,然后用&連接起來。效果如下:
access_key=abc&address=pek&name=fami
然后用以secret_access_key為key用sha256(或其他算法)對這個字符串進行簽名��,如果簽名后得到`
signature = "xxxxxxxx"
那么把這個簽名添加到請求參數(shù)里����,得到
{
"access_key": "abc",
"name": "fami",
"address": "pek",
"signature": "xxxxxxxx"
}
最終把這個發(fā)給服務器��,服務器根據(jù)參數(shù)里的access_key去查看secret_access_key��,然后把參數(shù)里的signature字段取出來�����,用前面的簽名方法來對剩下的參數(shù)進行簽名����,如果發(fā)現(xiàn)自己計算的簽名跟請求參數(shù)里的簽名一樣���,那么則通過認證。
安全問題
這里會有一個問題:如果這個(access_key���,secret_access_key)被別人知道了�,那么別人就會以我的身份去調(diào)用API了�。確實會有這個問題,針對此���,可以用以下的方法來減小影響����。
access key支持ip白名單�����,只有在白名單內(nèi)的ip才可以調(diào)用API���。
access key支持設置有效期���,也就是在有效時間內(nèi)����,該access key有效��,過了這個有效期��,就拒絕訪問�。
access key支持修改狀態(tài),只有狀態(tài)為可用的情況下���,服務器才會接受��。
用戶使用API必然會擔心安全問題��。在此之外還可以做些類似定期提醒用戶修改access key狀態(tài),或者定期刪除access key���。
題外話
微信公眾號開發(fā)接口里面��,是通過access_token調(diào)用微信的接口的���。access_token生成方式如下:
接口調(diào)用請求說明
https請求方式: GET
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET
通過傳appid, appsecret給微信api后臺,后臺就會返回access_token��,這個access_token是有有效期的,有點類似瀏覽器登錄��。
正常情況下�,微信會返回下述JSON數(shù)據(jù):
{"access_token":"ACCESS_TOKEN","expires_in":7200}
不過個人覺得傳appsecret的方式不太優(yōu)雅。
文章版權歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/41906.html
