记录下微信公众开发的一些坑,主要是接口配置和 jsapi 应用
首选需要一个服务器地址,建议用 ngrok 映射
token 相当于自己的密令,随便加
配置参数
你每次点击提交,微信服务器都会向你的服务器发送一个请求,这个请求包括签名,随机数,时间戳,随机字符串。
然后自己的服务器将 token, 时间戳,随机数字典排序后加密,如果加密后结果等于微信请求的签名,则配置成功
代码逻辑, 验证签名部分
- utils.sign = function (config){
- return function(req, res, next){
- config = config || {};
- var q = req.query;
- var token = config.wechat.token;
- var signature = q.signature; //微信加密签名
- var nonce = q.nonce; //随机数
- var timestamp = q.timestamp; //时间戳
- var echostr = q.echostr; //随机字符串
- /* 1)将token、timestamp、nonce三个参数进行字典序排序
- 2)将三个参数字符串拼接成一个字符串进行sha1加密
- 3)开发者获得加密后的字符串可与signature对比,标识该请求来源于微信 */
- var str = [token, timestamp, nonce].sort().join('');
- var sha = sha1(str);
- if (req.method == 'GET') {
- if (sha == signature) {
- console.log("我是echostr")
- res.send(echostr+'')
- }else{
- res.send('err');
- }
- }
- else if(req.method == 'POST'){
- if (sha != signature) {
- return;
- }
- console.log("关注发请求?")
- next();
- }
- }
- };
access_token 是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用 access_token。
先拿 access_token, 再拿 jsapi_ticket, 然后根据算法签名
签名生成规则如下:参与签名的字段包括 noncestr(随机字符串), 有效的 jsapi_ticket, timestamp(时间戳), url(当前网页的 URL,不包含 #及其后面部分) 。对所有待签名参数按照字段名的 ASCII 码从小到大排序(字典序)后,使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1。这里需要注意的是所有参数名均为小写字符。对 string1 作 sha1 加密,字段名和字段值都采用原始值,不进行 URL 转义。
即 signature=sha1(string1)。 示例:
noncestr=Wm3WZYTPz0wzccnW
jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg
timestamp=1414587457
url= http://mp.weixin.qq.com?params=value
步骤 1. 对所有待签名参数按照字段名的 ASCII 码从小到大排序(字典序)后,使用 URL 键值对的格式(即 key1=value1&key2=value2…)拼接成字符串 string1:
jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg&noncestr=Wm3WZYTPz0wzccnW×tamp=1414587457&url= http://mp.weixin.qq.com?params=value
步骤 2. 对 string1 进行 sha1 签名,得到 signature:
- 0f9de62fce790f9a083d5c99e95740ceb90c27ed
注意事项
1. 签名用的 noncestr 和 timestamp 必须与 wx.config 中的 nonceStr 和 timestamp 相同。(这个就是服务端生成随机字符串和时间戳返回给客户端)
2. 签名用的 url 必须是调用 JS 接口页面的完整 URL。(req.url)
3. 出于安全考虑,开发者必须在服务器端实现签名的逻辑。
- var createNonceStr = function() {
- return Math.random().toString(36).substr(2, 15);
- };
- var createTimestamp = function() {
- return parseInt(new Date().getTime() / 1000) + '';
- };
- var raw = function(args) {
- var keys = Object.keys(args);
- keys = keys.sort() var newArgs = {};
- keys.forEach(function(key) {
- newArgs[key.toLowerCase()] = args[key];
- });
- var string = '';
- for (var k in newArgs) {
- string += '&' + k + '=' + newArgs[k];
- }
- string = string.substr(1);
- return string;
- };
- /**
- * @synopsis 签名算法
- *
- * @param jsapi_ticket 用于签名的 jsapi_ticket
- * @param url 用于签名的 url ,注意必须动态获取,不能 hardcode
- *
- * @returns
- */
- var sign = function(jsapi_ticket, url) {
- var ret = {
- jsapi_ticket: jsapi_ticket,
- nonceStr: createNonceStr(),
- timestamp: createTimestamp(),
- url: url
- };
- var string = raw(ret);
- jsSHA = require('jssha');
- shaObj = new jsSHA(string, 'TEXT');
- ret.signature = shaObj.getHash('SHA-1', 'HEX');
- return ret;
- };
- module.exports = sign;
把 img 的 htpp 改成 https(神奇的 bug)
来源: http://www.jianshu.com/p/740dc1e387cd