经常看到有点的小伙伴在群里问小程序用户数据解密流程,所以打扒行算写一篇关于小程序用户敏感数据解密教程;
加密过程微信服务器完成,解密过程在小程序和自身服务器完成,即由 encryptData 得到如下数据:
准备知识:
以上3点对于理解解密流程非常重要 。
根据官方文档,我梳理了大致的解密流程,如下:
重点在6、7、8三个环节。
AES解密三个参数:
服务端解密流程:
下面结合小程序实例说明解密流程:
最后的效果如下:
如果你的小程序没有绑定微信开放平台,解密的数据中不包含unionid参数
小程序绑定微信开放平台连接
从解密的数据看,算得上敏感的数据只有appid;个人觉得openid不是敏感数据,每个用户针对每个公众号会产生一个安全的openid;openid只有在appid的作用域下可用。除非你的appid也泄露了。
那么可以从解密数据得到appid,微信小程序团队是何用意呢?还是前面那句话,openid脱离了appid就什么都不是,openid和appid一起为枯消了方便小程序开发者做到不同小程序应用之间用户区分和隔离,同时能够将微信用户体系与第三方业务体系结合。没此知
所以我认为敏感数据解密的主要用处不是解密后回传给客户端,而是在服务端将微信用户信息融入到自身业务当中。
一、获取code将code作为参数传递过来
//如果有code,说明是微信小程序,根据凳悄宽code获取openId
//classify用于标识是哪个小程序
if (!CheckUtil.checkNulls( keUser.getCode(),keUser.getClassify())){
//
String openid = OpenIdUtil.oauth2GetOpenid(keUser.getCode(),keUser.getClassify())
printParamsLog(openid, logger)
keUser.setUserId(openid)
}1234567812345678
二、工具类
package com.util
import net.sf.json.JSONObject
import org.apache.http.client.HttpClient
import org.apache.http.client.ResponseHandler
import org.apache.http.client.methods.HttpGet
import org.apache.http.impl.client.BasicResponseHandler
import org.apache.http.impl.client.DefaultHttpClient
import java.util.HashMap
import java.util.Map
/**
* @author xsx
*/
public class OpenIdUtil {
public static String oauth2GetOpenid(String code,String classify) {
String appid=""
String appsecret=""
switch (classify){
case "1":
//自己的配置appid
appid = "**********"
//自己的配置APPSECRET
appsecret = "**********"
break
case "2"运闹:
appid = "**********"
appsecret = "************"
break
case "3":
appid = "**********"
appsecret = "************"
break
case "4":
appid = "**********"
appsecret = "************"
break
case "5":
appid = "**********"
appsecret = "************"
}
//授权(必填枣亮)
String grant_type = "authorization_code"
//URL
String requestUrl = "https://api.weixin.qq.com/sns/jscode2session"
//请求参数
String params = "appid=" + appid + "&secret=" + appsecret + "&js_code=" + code + "&grant_type=" + grant_type
//发送请求
String data = HttpUtil.get(requestUrl, params)
//解析相应内容(转换成json对象)
JSONObject json = JSONObject.fromObject(data)
//用户的唯一标识(openid)
String Openid =String.valueOf(json.get("openid"))
//System.out.println(Openid)
return Openid
}
}
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960
三、发送请求的工具类
package com.util
import java.io.BufferedReader
import java.io.InputStreamReader
import java.net.URL
import java.net.URLConnection
import java.util.List
import java.util.Map
/**
* @author xsx
*/
public class HttpUtil {
/**
* 向指定URL发送GET方法的请求
*
* @param url
*发送请求的URL
* @param param
*请求参数,请求参数应该是 name1=value1&name2=value2 的形式。
* @return String 所代表远程资源的响应结果
*/
public static String get(String url,String param){
String result = ""
BufferedReader in = null
try {
String urlNameString = url + "?" + param
//System.out.println(urlNameString)
URL realUrl = new URL(urlNameString)
// 打开和URL之间的连接
URLConnection connection = realUrl.openConnection()
// 设置通用的请求属性
connection.setRequestProperty("accept", "*/*")
connection.setRequestProperty("connection", "Keep-Alive")
connection.setRequestProperty("user-agent",
"Mozilla/4.0 (compatibleMSIE 6.0Windows NT 5.1SV1)")
// 建立实际的连接
connection.connect()
// 获取所有响应头字段
Map<String, List<String>>map = connection.getHeaderFields()
// 遍历所有的响应头字段
/*for (String key : map.keySet()) {
System.out.println(key + "--->" + map.get(key))
}*/
// 定义 BufferedReader输入流来读取URL的响应
in = new BufferedReader(new InputStreamReader(
connection.getInputStream()))
String line
while ((line = in.readLine()) != null) {
result += line
}
} catch (Exception e) {
System.out.println("发送GET请求出现异常!" + e)
e.printStackTrace()
}
// 使用finally块来关闭输入流
finally {
try {
if (in != null) {
in.close()
}
} catch (Exception e2) {
e2.printStackTrace()
}
}
return result
}
}
调尘者敏用接口获取登录凭证(code)进而换取用户登录态信息,包括用户的唯一标识(openid) 及本次登录的 会话密钥(session_key)。用户数据的加解嫌悄密通讯需要依派枝赖会话密钥完成。欢迎分享,转载请注明来源:内存溢出
评论列表(0条)