微信小程序之用户数据解密

经常看到有点的小伙伴在群里问小程序用户数据解密流程，所以打扒行算写一篇关于小程序用户敏感数据解密教程；

加密过程微信服务器完成，解密过程在小程序和自身服务器完成，即由 encryptData 得到如下数据:

准备知识：

以上3点对于理解解密流程非常重要 。

根据官方文档，我梳理了大致的解密流程，如下：

重点在6、7、8三个环节。

AES解密三个参数：

服务端解密流程：

下面结合小程序实例说明解密流程：

最后的效果如下:

如果你的小程序没有绑定微信开放平台，解密的数据中不包含unionid参数

小程序绑定微信开放平台连接

从解密的数据看，算得上敏感的数据只有appid；个人觉得openid不是敏感数据，每个用户针对每个公众号会产生一个安全的openid；openid只有在appid的作用域下可用。除非你的appid也泄露了。

那么可以从解密数据得到appid，微信小程序团队是何用意呢？还是前面那句话，openid脱离了appid就什么都不是，openid和appid一起为枯消了方便小程序开发者做到不同小程序应用之间用户区分和隔离，同时能够将微信用户体系与第三方业务体系结合。没此知

所以我认为敏感数据解密的主要用处不是解密后回传给客户端，而是在服务端将微信用户信息融入到自身业务当中。

一、获取code

将code作为参数传递过来

//如果有code，说明是微信小程序，根据凳悄宽code获取openId

//classify用于标识是哪个小程序

if (!CheckUtil.checkNulls( keUser.getCode(),keUser.getClassify())){

//

String openid = OpenIdUtil.oauth2GetOpenid(keUser.getCode(),keUser.getClassify())

printParamsLog(openid, logger)

keUser.setUserId(openid)

}1234567812345678

二、工具类

package com.util

import net.sf.json.JSONObject

import org.apache.http.client.HttpClient

import org.apache.http.client.ResponseHandler

import org.apache.http.client.methods.HttpGet

import org.apache.http.impl.client.BasicResponseHandler

import org.apache.http.impl.client.DefaultHttpClient

import java.util.HashMap

import java.util.Map

/**

* @author xsx

*/

public class OpenIdUtil {

public static String oauth2GetOpenid(String code,String classify) {

String appid=""

String appsecret=""

switch (classify){

case "1":

//自己的配置appid

appid = "**********"

//自己的配置APPSECRET

appsecret = "**********"

break

case "2"运闹:

appid = "**********"

appsecret = "************"

break

case "3":

appid = "**********"

appsecret = "************"

break

case "4":

appid = "**********"

appsecret = "************"

break

case "5":

appid = "**********"

appsecret = "************"

}

//授权（必填枣亮）

String grant_type = "authorization_code"

//URL

String requestUrl = "https://api.weixin.qq.com/sns/jscode2session"

//请求参数

String params = "appid=" + appid + "&secret=" + appsecret + "&js_code=" + code + "&grant_type=" + grant_type

//发送请求

String data = HttpUtil.get(requestUrl, params)

//解析相应内容（转换成json对象）

JSONObject json = JSONObject.fromObject(data)

//用户的唯一标识（openid）

String Openid =String.valueOf(json.get("openid"))

//System.out.println(Openid)

return Openid

}

}

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960

三、发送请求的工具类

package com.util

import java.io.BufferedReader

import java.io.InputStreamReader

import java.net.URL

import java.net.URLConnection

import java.util.List

import java.util.Map

/**

* @author xsx

*/

public class HttpUtil {

/**

* 向指定URL发送GET方法的请求

*

* @param url

*发送请求的URL

* @param param

*请求参数，请求参数应该是 name1=value1&name2=value2 的形式。

* @return String 所代表远程资源的响应结果

*/

public static String get(String url,String param){

String result = ""

BufferedReader in = null

try {

String urlNameString = url + "?" + param

//System.out.println(urlNameString)

URL realUrl = new URL(urlNameString)

// 打开和URL之间的连接

URLConnection connection = realUrl.openConnection()

// 设置通用的请求属性

connection.setRequestProperty("accept", "*/*")

connection.setRequestProperty("connection", "Keep-Alive")

connection.setRequestProperty("user-agent",

"Mozilla/4.0 (compatibleMSIE 6.0Windows NT 5.1SV1)")

// 建立实际的连接

connection.connect()

// 获取所有响应头字段

Map<String, List<String>>map = connection.getHeaderFields()

// 遍历所有的响应头字段

/*for (String key : map.keySet()) {

System.out.println(key + "--->" + map.get(key))

}*/

// 定义 BufferedReader输入流来读取URL的响应

in = new BufferedReader(new InputStreamReader(

connection.getInputStream()))

String line

while ((line = in.readLine()) != null) {

result += line

}

} catch (Exception e) {

System.out.println("发送GET请求出现异常！" + e)

e.printStackTrace()

}

// 使用finally块来关闭输入流

finally {

try {

if (in != null) {

in.close()

}

} catch (Exception e2) {

e2.printStackTrace()

}

}

return result

}

}

对于第一次实现小程序获取用户手机号、用户信息功能的程序猿来说，有一个着手的思路可以事耐竖半功倍。本文可纯滑以给你提供这个思路，助你快速准确完成需求。

调用wx.login，在成功回调中，拿自己小程序的appId、secret请求接口 url: ' https://api.weixin.qq.com/sns/jscode2session?appid=' + appId + '&secret=' + secret + '&js_code=' +code + '&grant_type=authorization_code',请求成功即可拿到openid和session-key

小程序的appId必须昌裤大要在微信公众平台完成微信认证（里面需要上传一些企业的一些证件和信息）才能有获取用户手机号的权限

最后拿用户的获取到的e.detail.iv、和e.detail.encryptedData（加密的手机号）和前面拿到过的session-key传给后台，交给后台解密即可

具体解密规则参考官方文档：( https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/getPhoneNumber.html )

---