在小程序開發(fā)中米奸，可能需要用戶授權(quán)獲取用戶信息，而用戶信息涉及到手機(jī)號等敏感數(shù)據(jù)悔叽，一般的小程序開發(fā)平臺，會將數(shù)據(jù)進(jìn)行加密爵嗅，然后通過對稱加密算法進(jìn)行加密解密娇澎。在獲取手機(jī)號的過程中由于流程的理解錯誤可能會出現(xiàn)解密手機(jī)號失敗的問題。本文介紹一種比較適用的解決辦法睹晒，希望給遇到坑的同學(xué)一個參考趟庄。

1 問題描述

本文以抖音小程序（微信小程序獲取流程和接口一模一樣）為例，最近博主在做一個抖音小程序的小項(xiàng)目伪很，前端在獲取用戶手機(jī)號的時候戚啥，需要調(diào)用tt.login接口進(jìn)行登錄，登錄后返回一個code锉试，這個code有3分鐘的失效時間猫十，根據(jù)這個code可以獲取到sessionKey，這個sessionKey類似于對稱加密的密鑰呆盖，會對用戶信息進(jìn)行加密拖云。在獲取用戶信息的時候，前端
需要將 <button> 組件 open-type 的值設(shè)置為 getPhoneNumber应又。用戶點(diǎn)擊后會彈出一個授權(quán)彈窗讓用戶確認(rèn)（若該用戶賬戶未綁定手機(jī)號碼會執(zhí)行一次綁定手機(jī)號碼的流程宙项；授權(quán)彈窗每次使用都會彈出）。 用戶同意后株扛，開發(fā)者可以通過 bindgetphonenumber 事件回調(diào)獲取到一個加密數(shù)據(jù)尤筐，開發(fā)者可以把該數(shù)據(jù)傳回到自己的服務(wù)端進(jìn)行解密獲取手機(jī)號。

獲取到的加密數(shù)據(jù)需要使用sessionKey進(jìn)行解密洞就，因此在獲取用戶信息前盆繁，需要登錄一次，獲取到code奖磁，然后根據(jù)code獲取到sessionKey改基，再根據(jù)sessionKey進(jìn)行加密數(shù)據(jù)的解密，解析出手機(jī)號咖为。

根據(jù)博主猜測秕狰，抖音在登錄后會生成一個code，和一個對應(yīng)的sessionKey躁染，在會話期間（session未過期）的時候獲取用戶信息鸣哀，會將用戶信息使用sessionKey進(jìn)行數(shù)據(jù)的加密，進(jìn)行數(shù)據(jù)的解密也需要使用到sessionKey吞彤。code和sessionKey是對應(yīng)的我衬，但是它們的失效期是不一樣的叹放，code的失效期是3分鐘，sessionKey的失效時間是不定的挠羔，只要用戶活躍在頁面上都不會失效井仰。在獲取到code的3分鐘內(nèi)調(diào)用code-2-session接口，會獲取到sessionKey破加，如果3分鐘后根據(jù)code獲取sessionKey將會獲取失敗俱恶，因此解密也會失敗。

1.1 初始實(shí)現(xiàn)

因?yàn)闊o法判斷用戶什么時候開始獲取用戶信息范舀，所以用戶一進(jìn)入頁面合是，前端就會調(diào)用tt.login接口進(jìn)行登錄，然后放到localstorage緩存中锭环，在用戶點(diǎn)擊按鈕時聪全，彈出授權(quán)框用戶確認(rèn)后獲取到用戶信息的加密數(shù)據(jù)，然后前端將緩存的code和加密數(shù)據(jù)一并傳給后端辅辩。后端用code先去調(diào)用code-2-session接口獲取到sessionKey难礼，然后以sessionKey為密鑰進(jìn)行AES解密，獲取到手機(jī)號返回給前臺汽久。整個流程看起來沒什么問題鹤竭，但是一旦用戶在頁面停留時間超過3分鐘，然后再去獲取用戶信息會失敗景醇，主要是因?yàn)閏ode已經(jīng)失效臀稚，獲取sessionKey會失敗。

image.png

2 解決辦法

2.1 緩存sessionKey

目前的問題就是過了code的有效期后三痰，根據(jù)code獲取sessionKey失敗吧寺。那么在前端login獲取到code后，先緩存到本地散劫，然后立即調(diào)用后臺接口去獲取sessionKey然后緩存到redis里面稚机，key為code，value為sessionKey获搏。失效時間根據(jù)自己的業(yè)務(wù)設(shè)置（小程序頁面用戶不會停留太久赖条，因此緩存失效時間設(shè)置為30分鐘），用戶退出小程序后常熙，會重新login纬乍，然后也會存一份新的code和sessionKey的對應(yīng)值。

用戶在授權(quán)到用戶信息后裸卫，前端直接將緩存的code和加密后的用戶信息上傳到服務(wù)到進(jìn)行解密仿贬。服務(wù)端根據(jù)code從緩存中先獲取到sessionKey，然后再用sessionKey進(jìn)行解密墓贿，解析出手機(jī)號進(jìn)行返回茧泪。

image.png

2.2 存在問題

以上解決辦法每次基本都可以獲取手機(jī)號成功蜓氨，但是也會存在一些問題

• 會存在很多冗余數(shù)據(jù)：因?yàn)榫彺媸歉鶕?jù)code進(jìn)行緩存的，無法根據(jù)用戶唯一id進(jìn)行緩存队伟，如果用戶多次進(jìn)行登錄穴吹，將會存儲多份，因此需要根據(jù)自己的業(yè)務(wù)時間進(jìn)行設(shè)置緩存失效時間
• 實(shí)現(xiàn)更加復(fù)雜：因?yàn)楹蠖诉€涉及到redis服務(wù) 以及加密解密的過程

3 附上源碼

3.1 用戶信息controller

UserInfoController主要提供兩個接口缰泡，一個是解密手機(jī)號和code2seesion操作

@Api("用戶信息")
@Validated
@RestController
public class UserInfoController {

    @Resource
    TiktokUserInfoSPI tiktokUserInfoSPI;

    @ApiOperation("解密手機(jī)號")
    @PostMapping("/api/userinfo/decrypt/phone")
    public Result<PhoneResult> decryptPhone(@Validated @RequestBody TiktokEncryptedParam param) {
        return Result.success(tiktokUserInfoSPI.decryptUserPhone(param));
    }

    @ApiOperation("code2seesion")
    @GetMapping("/api/userinfo/code2session")
    public Result code2Session(@RequestParam("code") @NotEmpty(message = "code不能為空") String code) {
        tiktokUserInfoSPI.code2Session(code);
        return Result.success(null);
    }
}

TiktokEncryptedParam 主要是前端傳過來的code和加密后的數(shù)據(jù)

/**
 * @ClassName : TiktokEncryptedParam
 * @Description : 抖音小程序用戶加密參數(shù)
 */
@Data
@ApiModel("抖音小程序加密參數(shù)")
public class TiktokEncryptedParam {

    @NotEmpty(message = "code不能為空")
    @ApiModelProperty(value="login 接口返回的登錄憑證",name="code")
    private String code;

    @ApiModelProperty(value="login 接口返回的匿名登錄憑證",name="anonymousCode")
    private String anonymousCode;

    @NotEmpty(message = "加密數(shù)據(jù)不能為空")
    @ApiModelProperty(value="加密數(shù)據(jù)",name="encryptedData")
    private String encryptedData;

    @NotEmpty(message = "加密初始向量不能為空")
    @ApiModelProperty(value="加密初始向量",name="iv")
    private String iv;
}

3.2 抖音接口SPI

TiktokUserInfoSPI 主要是對接口的封裝

public interface TiktokUserInfoSPI {

    /**
     * 解密敏感數(shù)據(jù)獲取手機(jī)號
     * @param param
     * @return
     */
    PhoneResult decryptUserPhone(TiktokEncryptedParam param);

    /**
     * 通過login接口獲取到登錄憑證后刀荒，開發(fā)者可以通過服務(wù)器發(fā)送請求的方式獲取 session_key 和 openId。
     * @param code
     * @return
     */
    Code2SessionResult code2Session(String code);
}

TiktokUserInfoSPIAdapter 實(shí)現(xiàn)接口

import cn.hutool.core.util.ObjectUtil;
import cn.hutool.http.HttpUtil;
import cn.hutool.json.JSONObject;
import cn.hutool.json.JSONUtil;

@Slf4j
@Service
public class TiktokUserInfoSPIAdapter implements TiktokUserInfoSPI {

    @Value("${tiktok.miniprogram.appid}")
    private String appId;

    @Value("${tiktok.miniprogram.secret}")
    private String secret;

    @Qualifier("getRedisson")
    @Autowired
    RedissonClient redissonClient;

    @Override
    public PhoneResult decryptUserPhone(TiktokEncryptedParam param) {
        if(ObjectUtil.isEmpty(param.getCode())) {
            throw new BusinessException(ToastConstant.ERR_JSCODE);
        }
        PhoneResult phoneResult = new PhoneResult();
        // code2Session
        Code2SessionResult result = getSessionResult(param.getCode());
        if(result.getErrCode() != 0) {
            phoneResult.setErrCode(result.getErrCode());
            phoneResult.setErrMsg(result.getErrMsg());
            return phoneResult;
        }
        log.info("開始進(jìn)行數(shù)據(jù)解密------- param = [{}]" , JSONUtil.toJsonStr(param));
        String jsonString = DecryptUtil.decrypt(param.getEncryptedData(), result.getSessionKey(), param.getIv());
        log.info("解密后的數(shù)據(jù)為-------  jsonString = [{}]" , jsonString);
        PhoneNumberResult phoneNumberResult = JSONUtil.toBean(jsonString, PhoneNumberResult.class);
        phoneResult.setErrCode(0);
        phoneResult.setPhone(phoneNumberResult.getPurePhoneNumber());
        return phoneResult;
    }

    private Code2SessionResult getSessionResult(String code) {
        String cacheKey = String.format(RedisConstant.CACHE_KEY.TIKTOK_SESSION_KEY, code);
        RBucket<Code2SessionResult> bucket = this.redissonClient.getBucket(cacheKey);
        Code2SessionResult result = bucket.get();
        if(ObjectUtil.isNull(result) || ObjectUtil.isEmpty(result.getSessionKey())) {
            result = new Code2SessionResult();
            result.setErrCode(ErrCodeEnum.FAIL.getCode());
            result.setErrMsg(ToastConstant.ERROR_GET_SESSION_KEY);
        }
        return result;
    }

    @Override
    public Code2SessionResult code2Session(String code) {
        // 構(gòu)造參數(shù)
        Map<String, Object> paramMap = new HashMap<>();
        paramMap.put("appid", appId);
        paramMap.put("secret", secret);
        paramMap.put("code", code);
        // 發(fā)送請求
        String jsonResult = HttpUtil.get(ApiConstant.BYTEDANCE_TIKTOK.JSCODE_2SESSION, paramMap);
        if(ObjectUtil.isNull(jsonResult)) {
            log.error("獲取sessionKey失敗, jsonResult 返回為空");
            //throw new BusinessException(ToastConstant.ERROR_GET_SESSION_KEY);
        }
        // 解析結(jié)果
        JSONObject jsonObject = JSONUtil.parseObj(jsonResult);
        int error = jsonObject.getInt("error");
        Code2SessionResult result = new Code2SessionResult();
        if(error == ErrCodeEnum.SUCCESS.getCode()) {
            result.setOpenId(jsonObject.getStr("openid"));
            result.setSessionKey(jsonObject.getStr("session_key"));
            result.setAnonymousOpenId(jsonObject.getStr("anonymous_openid"));
            result.setUnionId(jsonObject.getStr("unionid"));
            result.setErrCode(ErrCodeEnum.SUCCESS.getCode());
            //return result;
        } else {
            int errCode = jsonObject.getInt("errcode");
            String errMsg = jsonObject.getStr("errmsg");
            // code錯誤棘钞，可能是登錄失效
            if(errCode == Code2SessionEnum.ERROR_40018.getCode() ||
                    errCode == Code2SessionEnum.ERROR_40019.getCode()) {
                result.setErrCode(errCode);
                result.setErrMsg(errMsg);
                //return result;
            }
            log.error("獲取sessionKey失敗, errCode = [{}], errMsg = [{}]", errCode, errMsg);
            //throw new BusinessException(ToastConstant.ERROR_GET_SESSION_KEY);
        }
        String cacheKey = String.format(RedisConstant.CACHE_KEY.TIKTOK_SESSION_KEY, code);
        RBucket<Code2SessionResult> bucket = this.redissonClient.getBucket(cacheKey);
        bucket.set(result, 30, TimeUnit.MINUTES);
        return result;
    }

}

3.3 加密解密

使用AES對稱加密

import cn.hutool.crypto.symmetric.AES;
import com.tiktokminiprogram.exception.BusinessException;
import lombok.extern.slf4j.Slf4j;

import java.util.Base64;

/**
 * @ClassName : DecryptUtil
 * @Description : 解密工具類
 */
@Slf4j
public class DecryptUtil {

    /**
     * 解密敏感數(shù)據(jù)
     * @param encryptedData
     * @param sessionKey
     * @param iv
     * @return
     */
    public static String decrypt(String encryptedData, String sessionKey, String iv) {
        try {
            Base64.Decoder decoder = Base64.getDecoder();
            byte[] sessionKeyBytes = decoder.decode(sessionKey);
            byte[] ivBytes = decoder.decode(iv);
            byte[] encryptedBytes = decoder.decode(encryptedData);

            AES aes = new AES("CBC", "PKCS7Padding", sessionKeyBytes, ivBytes);
            String res = aes.decryptStr(encryptedBytes);
            log.info("res = [{}]", res);
            return res;
        } catch (Exception e) {
            log.error("解密出現(xiàn)錯誤", e);
            throw new BusinessException("解密出現(xiàn)錯誤");
        }
    }
}