用户
 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
  • TA的每日心情
    无聊
    2017-8-15 16:38
  • 签到天数: 42 天

    [LV.5]常住居民I

    885

    主题

    2074

    帖子

    3万

    金钱

    管理员

    论坛管理员

    Rank: 9Rank: 9Rank: 9

    积分
    0

    突出贡献优秀版主荣誉管理论坛元老

    QQ
    2018-1-24 14:10:48 zhichi_admin 管理员 楼主 11431
    小游戏用户数据的签名验证和加解密数据签名校验
    为了确保开放接口返回用户数据的安全性,微信会对明文数据进行签名。开发者可以根据业务需要对数据包进行签名校验,确保数据的完整性。
    • 签名校验算法涉及用户的session_key,通过 wx.login 登录流程获取用户session_key,并自行维护与应用自身登录态的对应关系。
    • 通过调用接口(如 wx.getUserInfo)获取数据时,接口会同时返回 rawData、signature,其中 signature = sha1( rawData + session_key )
    • 开发者将 signature、rawData 发送到开发者服务器进行校验。服务器利用用户对应的 session_key 使用相同的算法计算出签名 signature2 ,比对 signature 与 signature2 即可校验数据的完整性。
    如wx.getUserInfo的数据校验:
    接口返回的rawData:
    [AppleScript] 纯文本查看 复制代码
    {
      "nickName": "Band",
      "gender": 1,
      "language": "zh_CN",
      "city": "Guangzhou",
      "province": "Guangdong",
      "country": "CN",
      "avatarUrl": "http://wx.qlogo.cn/mmopen/vi_32/1vZvI39NWFQ9XM4LtQpFrQJ1xlgZxx3w7bQxKARol6503Iuswjjn6nIGBiaycAjAtpujxyzYsrztuuICqIM5ibXQ/0"
    }
    用户的 session-key:
    [AppleScript] 纯文本查看 复制代码
    HyVFkGl5F5OQWJZZaNzBBg==
    所以,用于签名的字符串为:
    [AppleScript] 纯文本查看 复制代码
    {"nickName":"Band","gender":1,"language":"zh_CN","city":"Guangzhou","province":"Guangdong","country":"CN","avatarUrl":"http://wx.qlogo.cn/mmopen/vi_32/1vZvI39NWFQ9XM4LtQpFrQJ1xlgZxx3w7bQxKARol6503Iuswjjn6nIGBiaycAjAtpujxyzYsrztuuICqIM5ibXQ/0"}HyVFkGl5F5OQWJZZaNzBBg==
    使用sha1得到的结果为
    [AppleScript] 纯文本查看 复制代码
    75e81ceda165f4ffa64f4068af58c64b8f54b88c
    加密数据解密算法
    接口如果涉及敏感数据(如wx.getUserInfo当中的 openId 和unionId ),接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据,需要对接口返回的加密数据( encryptedData )进行对称解密。 解密算法如下:
    • 对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充。
    • 对称解密的目标密文为 Base64_Decode(encryptedData)。
    • 对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
    • 对称解密算法初始向量 为Base64_Decode(iv),其中iv由数据接口返回。
    另外,为了应用能校验数据的有效性,我们会在敏感数据加上数据水印( watermark )
    watermark参数说明:
    参数 类型 说明
    watermark OBJECT 数据水印
    appid String 敏感数据归属appid,开发者可校验此参数与自身appid是否一致
    timestamp DateInt 敏感数据获取的时间戳, 开发者可以用于数据时效性校验
    [AppleScript] 纯文本查看 复制代码
    {
        "openId": "OPENID",
        "nickName": "NICKNAME",
        "gender": GENDER,
        "city": "CITY",
        "province": "PROVINCE",
        "country": "COUNTRY",
        "avatarUrl": "AVATARURL",
        "unionId": "UNIONID",
        "watermark":
        {
            "appid":"APPID",
            "timestamp":TIMESTAMP
        }
    }
    

    注:此前提供的加密数据(encryptData)以及对应的加密算法将被弃用,请开发者不要再依赖旧逻辑。
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册
    咫尺论坛|小程序开发社区
    X

    扫码添加专属客服即可随时咨询

    还可领取小程序推广攻略