記錄下微信公眾開(kāi)發(fā)的一些坑有序,主要是接口配置和jsapi應(yīng)用
測(cè)試號(hào)接口信息配置
首選需要一個(gè)服務(wù)器地址握巢,建議用ngrok映射
token相當(dāng)于自己的密令晕鹊,隨便加
你每次點(diǎn)擊提交,微信服務(wù)器都會(huì)向你的服務(wù)器發(fā)送一個(gè)請(qǐng)求,這個(gè)請(qǐng)求包括簽名溅话,隨機(jī)數(shù)晓锻,時(shí)間戳,隨機(jī)字符串飞几。
然后自己的服務(wù)器將token,時(shí)間戳砚哆,隨機(jī)數(shù)字典排序后加密,如果加密后結(jié)果等于微信請(qǐng)求的簽名屑墨,則配置成功
代碼邏輯,驗(yàn)證簽名部分
utils.sign = function (config){
return function(req, res, next){
config = config || {};
var q = req.query;
var token = config.wechat.token;
var signature = q.signature; //微信加密簽名
var nonce = q.nonce; //隨機(jī)數(shù)
var timestamp = q.timestamp; //時(shí)間戳
var echostr = q.echostr; //隨機(jī)字符串
/* 1)將token躁锁、timestamp、nonce三個(gè)參數(shù)進(jìn)行字典序排序
2)將三個(gè)參數(shù)字符串拼接成一個(gè)字符串進(jìn)行sha1加密
3)開(kāi)發(fā)者獲得加密后的字符串可與signature對(duì)比卵史,標(biāo)識(shí)該請(qǐng)求來(lái)源于微信 */
var str = [token, timestamp, nonce].sort().join('');
var sha = sha1(str);
if (req.method == 'GET') {
if (sha == signature) {
console.log("我是echostr")
res.send(echostr+'')
}else{
res.send('err');
}
}
else if(req.method == 'POST'){
if (sha != signature) {
return;
}
console.log("關(guān)注發(fā)請(qǐng)求战转?")
next();
}
}
};
獲取access_token
access_token是公眾號(hào)的全局唯一接口調(diào)用憑據(jù),公眾號(hào)調(diào)用各接口時(shí)都需使用access_token以躯。
調(diào)用JSAPI時(shí)簽名
先拿access_token
,再拿jsapi_ticket
,然后根據(jù)算法簽名
簽名生成規(guī)則如下:參與簽名的字段包括noncestr(隨機(jī)字符串), 有效的jsapi_ticket, timestamp(時(shí)間戳), url(當(dāng)前網(wǎng)頁(yè)的URL槐秧,不包含#及其后面部分) 。對(duì)所有待簽名參數(shù)按照字段名的ASCII 碼從小到大排序(字典序)后忧设,使用URL鍵值對(duì)的格式(即key1=value1&key2=value2…)拼接成字符串string1刁标。這里需要注意的是所有參數(shù)名均為小寫(xiě)字符。對(duì)string1作sha1加密址晕,字段名和字段值都采用原始值命雀,不進(jìn)行URL 轉(zhuǎn)義。
即signature=sha1(string1)斩箫。 示例:
noncestr=Wm3WZYTPz0wzccnW
jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg
timestamp=1414587457
url=http://mp.weixin.qq.com?params=value
步驟1. 對(duì)所有待簽名參數(shù)按照字段名的ASCII 碼從小到大排序(字典序)后,使用URL鍵值對(duì)的格式(即key1=value1&key2=value2…)拼接成字符串string1:
jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg&noncestr=Wm3WZYTPz0wzccnW×tamp=1414587457&url=http://mp.weixin.qq.com?params=value
步驟2. 對(duì)string1進(jìn)行sha1簽名撵儿,得到signature:
0f9de62fce790f9a083d5c99e95740ceb90c27ed
注意事項(xiàng)
1.簽名用的noncestr和timestamp必須與wx.config中的nonceStr和timestamp相同乘客。(這個(gè)就是服務(wù)端生成隨機(jī)字符串和時(shí)間戳返回給客戶(hù)端)
2.簽名用的url必須是調(diào)用JS接口頁(yè)面的完整URL。(req.url)
3.出于安全考慮淀歇,開(kāi)發(fā)者必須在服務(wù)器端實(shí)現(xiàn)簽名的邏輯易核。
var createNonceStr = function () {
return Math.random().toString(36).substr(2, 15);
};
var createTimestamp = function () {
return parseInt(new Date().getTime() / 1000) + '';
};
var raw = function (args) {
var keys = Object.keys(args);
keys = keys.sort()
var newArgs = {};
keys.forEach(function (key) {
newArgs[key.toLowerCase()] = args[key];
});
var string = '';
for (var k in newArgs) {
string += '&' + k + '=' + newArgs[k];
}
string = string.substr(1);
return string;
};
/**
* @synopsis 簽名算法
*
* @param jsapi_ticket 用于簽名的 jsapi_ticket
* @param url 用于簽名的 url ,注意必須動(dòng)態(tài)獲取浪默,不能 hardcode
*
* @returns
*/
var sign = function (jsapi_ticket, url) {
var ret = {
jsapi_ticket: jsapi_ticket,
nonceStr: createNonceStr(),
timestamp: createTimestamp(),
url: url
};
var string = raw(ret);
jsSHA = require('jssha');
shaObj = new jsSHA(string, 'TEXT');
ret.signature = shaObj.getHash('SHA-1', 'HEX');
return ret;
};
module.exports = sign;
測(cè)試號(hào)二維碼不顯示
把img的htpp改成https(神奇的bug)