在作为第三方开发接入前,不管是应用的接入还是小程序的接入,都必须要在后台设置一些信息。在这当中,因为在官方的文档中不太理解,加上一下跳企业内部开发,一下有跳到第三方开发,所以一直没弄太清楚。通过百度和微信社区,终于是稍稍懂了。
这是系统事件的回调url,在后续调用功能时作为判断这个企业合法性的回调。
在关联的小程序或者应用后,进入详情页,在下面的回调设置必须设置好,这是获取凭证必须要通过的。
就这两处的回调设置,搞了半天。
根据自己的开发语言,下载加密库,里面有例子。但是都不是特别好理解。
在自己的服务器要开发基于get和post的回调url,根据回调描述处理好逻辑,可以借鉴下载的例子。
1、自己找了例子,假设回调url:https://api3.com/server/callbackVerify。分别有一个doGet和doPost的controller。在回调设置中分别都设置这个url后,点击验证,是可以通过的。然后去刷新ticket时,就报错了。
2、找了几轮后,发现通用参数没有设置,然后设置通用参数,通过后,回过头来,发现回调设置中的两个地方都无法验证了。特别的是用官方提供的
这个调试,返回都是成功。后来看到说是这个调试工具没有错误的返回。看自己服务器就知道,调用是失败的。
找了一大堆,都搞不清。微信的概念太多,有很多名词,都无法弄得太清。
然后在一个社区的官方回复里看到一个回复
这个真的要多读几次。
个人理解:
1、当是get请求时,回调都要用服务商的corpid来解密,对应的token和EncodingAESKey用企业的,也就是通用设置中的参数;当是post请求时。数据回调url,要用企业的。指令回调url,要用应用本身的suiteid,以及在应用内设置的token和EncodingAESKey。
2、url内的逻辑要正确,可以直接拿加密库过来使用,主要是避免造轮子和未知的坑。自己逻辑内的加解密就与在后台设置的id、token等参数相关,只有一一对应,才能通过校验,然后这个url才能生效,才能刷新ticket。
可以根据下载的官方demo
/*
------------使用示例一:验证回调URL---------------
*企业开启回调模式时,企业微信会向验证url发送一个get请求
假设点击验证时,企业收到类似请求:
* GET /cgi-bin/wxpush?msg_signature=5c45ff5e21c57e6ad56bac8758b79b1d9ac89fd3×tamp=1409659589&nonce=263014780&echostr=P9nAzCzyDtyTWESHep1vC5X9xho%2FqYX3Zpb4yKa9SKld1DsH3Iyt3tP3zNdtp%2B4RPcs8TgAE7OaBO%2BFZXvnaqQ%3D%3D
* HTTP/1.1 Host: qy.weixin.qq.com
接收到该请求时,企业应 1.解析出Get请求的参数,包括消息体签名(msg_signature),时间戳(timestamp),随机数字串(nonce)以及企业微信推送过来的随机加密字符串(echostr),
这一步注意作URL解码。
2.验证消息体签名的正确性
3. 解密出echostr原文,将原文当作Get请求的response,返回给企业微信
第2,3步可以用企业微信提供的库函数VerifyURL来实现。
*/
// 解析出url上的参数值如下:
// String sVerifyMsgSig = HttpUtils.ParseUrl("msg_signature");
String sVerifyMsgSig = "5c45ff5e21c57e6ad56bac8758b79b1d9ac89fd3";
// String sVerifyTimeStamp = HttpUtils.ParseUrl("timestamp");
String sVerifyTimeStamp = "1409659589";
// String sVerifyNonce = HttpUtils.ParseUrl("nonce");
String sVerifyNonce = "263014780";
// String sVerifyEchoStr = HttpUtils.ParseUrl("echostr");
String sVerifyEchoStr = "P9nAzCzyDtyTWESHep1vC5X9xho/qYX3Zpb4yKa9SKld1DsH3Iyt3tP3zNdtp+4RPcs8TgAE7OaBO+FZXvnaqQ==";
String sEchoStr; //需要返回的明文
try {
sEchoStr = wxcpt.VerifyURL(sVerifyMsgSig, sVerifyTimeStamp,
sVerifyNonce, sVerifyEchoStr);
System.out.println("verifyurl echostr: " + sEchoStr);
// 验证URL成功,将sEchoStr返回
// HttpUtils.SetResponse(sEchoStr);
} catch (Exception e) {
//验证URL失败,错误原因请查看异常
e.printStackTrace();
}
/*
------------使用示例二:对用户回复的消息解密---------------
用户回复消息或者点击事件响应时,企业会收到回调消息,此消息是经过企业微信加密之后的密文以post形式发送给企业,密文格式请参考官方文档
假设企业收到企业微信的回调消息如下:
POST /cgi-bin/wxpush? msg_signature=477715d11cdb4164915debcba66cb864d751f3e6×tamp=1409659813&nonce=1372623149 HTTP/1.1
Host: qy.weixin.qq.com
Content-Length: 613
<xml> <ToUserName><![CDATA[wx5823bf96d3bd56c7]]></ToUserName><Encrypt><![CDATA[RypEvHKD8QQKFhvQ6QleEB4J58tiPdvo+rtK1I9qca6aM/wvqnLSV5zEPeusUiX5L5X/0lWfrf0QADHHhGd3QczcdCUpj911L3vg3W/sYYvuJTs3TUUkSUXxaccAS0qhxchrRYt66wiSpGLYL42aM6A8dTT+6k4aSknmPj48kzJs8qLjvd4Xgpue06DOdnLxAUHzM6+kDZ+HMZfJYuR+LtwGc2hgf5gsijff0ekUNXZiqATP7PF5mZxZ3Izoun1s4zG4LUMnvw2r+KqCKIw+3IQH03v+BCA9nMELNqbSf6tiWSrXJB3LAVGUcallcrw8V2t9EL4EhzJWrQUax5wLVMNS0+rUPA3k22Ncx4XXZS9o0MBH27Bo6BpNelZpS+/uh9KsNlY6bHCmJU9p8g7m3fVKn28H3KDYA5Pl/T8Z1ptDAVe0lXdQ2YoyyH2uyPIGHBZZIs2pDBS8R07+qN+E7Q==]]></Encrypt>
<AgentID><![CDATA[218]]></AgentID>
</xml>
企业收到post请求之后应该 1.解析出url上的参数,包括消息体签名(msg_signature),时间戳(timestamp)以及随机数字串(nonce)
2.验证消息体签名的正确性。
3.将post请求的数据进行xml解析,并将<Encrypt>标签的内容进行解密,解密出来的明文即是用户回复消息的明文,明文格式请参考官方文档
第2,3步可以用企业微信提供的库函数DecryptMsg来实现。
*/
// String sReqMsgSig = HttpUtils.ParseUrl("msg_signature");
String sReqMsgSig = "477715d11cdb4164915debcba66cb864d751f3e6";
// String sReqTimeStamp = HttpUtils.ParseUrl("timestamp");
String sReqTimeStamp = "1409659813";
// String sReqNonce = HttpUtils.ParseUrl("nonce");
String sReqNonce = "1372623149";
// post请求的密文数据
// sReqData = HttpUtils.PostData();
String sReqData = "<xml><ToUserName><![CDATA[wx5823bf96d3bd56c7]]></ToUserName><Encrypt><![CDATA[RypEvHKD8QQKFhvQ6QleEB4J58tiPdvo+rtK1I9qca6aM/wvqnLSV5zEPeusUiX5L5X/0lWfrf0QADHHhGd3QczcdCUpj911L3vg3W/sYYvuJTs3TUUkSUXxaccAS0qhxchrRYt66wiSpGLYL42aM6A8dTT+6k4aSknmPj48kzJs8qLjvd4Xgpue06DOdnLxAUHzM6+kDZ+HMZfJYuR+LtwGc2hgf5gsijff0ekUNXZiqATP7PF5mZxZ3Izoun1s4zG4LUMnvw2r+KqCKIw+3IQH03v+BCA9nMELNqbSf6tiWSrXJB3LAVGUcallcrw8V2t9EL4EhzJWrQUax5wLVMNS0+rUPA3k22Ncx4XXZS9o0MBH27Bo6BpNelZpS+/uh9KsNlY6bHCmJU9p8g7m3fVKn28H3KDYA5Pl/T8Z1ptDAVe0lXdQ2YoyyH2uyPIGHBZZIs2pDBS8R07+qN+E7Q==]]></Encrypt><AgentID><![CDATA[218]]></AgentID></xml>";
try {
String sMsg = wxcpt.DecryptMsg(sReqMsgSig, sReqTimeStamp, sReqNonce, sReqData);
System.out.println("after decrypt msg: " + sMsg);
// TODO: 解析出明文xml标签的内容进行处理
// For example:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
StringReader sr = new StringReader(sMsg);
InputSource is = new InputSource(sr);
Document document = db.parse(is);
Element root = document.getDocumentElement();
NodeList nodelist1 = root.getElementsByTagName("Content");
String Content = nodelist1.item(0).getTextContent();
System.out.println("Content:" + Content);
} catch (Exception e) {
// TODO
// 解密失败,失败原因请查看异常
e.printStackTrace();
}
我这边自己的,借鉴了大佬的代码
get请求:
// 微信加密签名
String msg_signature = request.getParameter("msg_signature");
// 时间戳
String timestamp = request.getParameter("timestamp");
// 随机数
String nonce = request.getParameter("nonce");
// 随机字符串
// 如果是刷新,需返回原echostr
String echostr = request.getParameter("echostr");
//需要返回的明文
String sEchoStr;
try {
WXBizMsgCrypt wxcpt = new WXBizMsgCrypt(ConfigConstat.TOKEN, ConfigConstat.EncodingAESKey, ConfigConstat.CorpID);
sEchoStr = wxcpt.VerifyURL(msg_signature, timestamp,
nonce, echostr);
logger.info("verify url echostr: [{}]",sEchoStr);
// 验证URL成功,将sEchoStr返回
PrintWriter writer = response.getWriter();
writer.print(sEchoStr);
} catch (Exception e) {
//验证URL失败,错误原因请查看异常
result.setDesc("verify url error");
result.setData(e.getMessage());
logger.error("verify url",e);
}
post请求:
// 微信加密签名
String msg_signature = request.getParameter("msg_signature");
// 时间戳
String timestamp = request.getParameter("timestamp");
// 随机数
String nonce = request.getParameter("nonce");
//自定义参数
String type = request.getParameter("type");
// 访问应用和企业回调传不同的ID
String receiveid = "";
if("data".equals(type)){
receiveid = ConfigConstat.CorpID;
} else {
receiveid = ConfigConstat.SuiteID;
}
String sReqData = PayUtils.getWxXml(request);
try {
WXBizMsgCrypt wxcpt = new WXBizMsgCrypt(ConfigConstat.TOKEN, ConfigConstat.EncodingAESKey, receiveid);
String sMsg = wxcpt.DecryptMsg(msg_signature, timestamp, nonce, sReqData);
logger.info("after decrypt msg: [{}]",sMsg);
Map map = XmlUtil.doXMLParse(sMsg);
logger.info("xmlContent:[{}]",map);
String suiteTicket = (String)map.get("SuiteTicket");
String authCode = (String)map.get("AuthCode");
logger.info("SuiteTicket:[{}],AuthCode[{}]",suiteTicket,authCode);
} catch (Exception e) {
// 解密失败,失败原因请查看异常
logger.error("decrypt msg",e);
}
其中XmlUtil.doXMLParse 方法可以根据官方实例中做修改
// For example:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
DocumentBuilder db = dbf.newDocumentBuilder();
StringReader sr = new StringReader(sMsg);
InputSource is = new InputSource(sr);
Document document = db.parse(is);
Element root = document.getDocumentElement();
NodeList nodelist1 = root.getElementsByTagName("Content");
String Content = nodelist1.item(0).getTextContent();
System.out.println("Content:" + Content);
组成需要的形式,分别取出来,组成map集合就行
PayUtils.getWxXml(request)方法,只要做读取就行
String postData=""; // 密文,对应POST请求的数据
//1.获取加密的请求消息:使用输入流获得加密请求消息postData
ServletInputStream in = request.getInputStream();
BufferedReader reader =new BufferedReader(new InputStreamReader(in));
String tempStr=""; //作为输出字符串的临时串,用于判断是否读取完毕
while(null!=(tempStr=reader.readLine())){
postData+=tempStr;
}
基本这个阶段报错或者调试不通过,极大的可能是那些参数使用不对,或者逻辑不符合官方的要求,多从这方面入手。
虽然看到吐糟的很多,遇到的问题也很多。如果没解决就会一直绕在里面。官方的文档要多读读,还是没有理解里面说的意思,能懂它要表达的,应该不是很难理解这个过程,只是重点还是要懂。