微信小程序之用户数据解密

经常看到有点的小伙伴在群里问小程序用户数据解密流程，所以打算写一篇关于小程序用户敏感数据解密教程；

加密过程微信服务器完成，解密过程在小程序和自身服务器完成，即由 encryptData 得到如下数据:

准备知识：

以上3点对于理解解密流程非常重要 。

根据官方文档，我梳理了大致的解密流程，如下：

重点在6、7、8三个环节。

AES解密三个参数：

服务端解密流程：

下面结合小程序实例说明解密流程：

最后的效果如下:

如果你的小程序没有绑定微信开放平台，解密的数据中不包含unionid参数

小程序绑定微信开放平台连接

从解密的数据看，算得上敏感的数据只有appid；个人觉得openid不是敏感数据，每个用户针对每个公众号会产生一个安全的openid；openid只有在appid的作用域下可用。除非你的appid也泄露了。

那么可以从解密数据得到appid，微信小程序团队是何用意呢？还是前面那句话，openid脱离了appid就什么都不是，openid和appid一起为了方便小程序开发者做到不同小程序应用之间用户区分和隔离，同时能够将微信用户体系与第三方业务体系结合。

所以我认为敏感数据解密的主要用处不是解密后回传给客户端，而是在服务端将微信用户信息融入到自身业务当中。

最近有一个需求，就是在小程序中，如果把商品分享到某群，此商品被二次转发（又被分享至其它群）， 其它群成员无法领取

这个功能需要在小程序中获取第一次转发的群ID，根据ID，非此群用户无法领取此商品

在此记录此需求，从转发到接收的全流程实现

1） 页面生成后，一开始没有分享信息，故在 onReady 生命周期函数中调用 wx.hideShareMenu() ，使右上角按钮无法呼出分享按钮

2） 点击页面下赠送朋友按钮，向服务器请求分享信息，分享信息拿到后使用 wx.showShareMenu({withShareTicket: true}) 方法，使右上角可以呼出分享按钮， withShareTicket: true  设置分享后回掉函数中可以拿到shareTicket信息

3）在 onShareAppMessage 函数中配置配置分享信息， **注意，此函数中不要有异步行为，更不要在异步行为的回调函数中配置分享信息，分享信息要在此函数中 直接return（返回带有分享信息和分享完成后回掉函数的object）

4）此时按右上角，即会触发分享行为，在onShareAppMessage  函数中return 的分享后成功的回调函数参数里可以拿到 shareTickets ， shareTickets是一个数组，数组每一项为一个分享了的群组shareTicket信息

5) 拿到shareTicket后， 调用wx.getShareInfo， 即可拿到加密后的微信群ID信息，将此信息通过API接口，交给后台处理。

在小程序的注册文件app.js中，onLaunch函数参数里，可以拿到场景值（ops.scene），当场景值为1044（带 shareTicket 的小程序消息卡片），ops中会包含shartTicket信息，同样调用wx.getShareInfo接口，拿到加密后的微信群ID，将此信息保存， 在用户触发接受的时候，将此信息通过API交给后端，后端会进行解密，如果此ID 和分享时候的ID不一致，那么用户不可接收此商品

---