投稿
  1. 首页
  2. 软件运维

微信小程序授权解密失败问题

大芒果论坛 2023-5-26 软件运维 阅读 9

微信小程序授权解密失败问题,第1张

问题:wx.getUserInfo 解密用户信息出现概率性失败

正确顺序: wx.login() =>wx.getUserInfo

1.首先我们来讨论下:wx.login()后执行了什么 *** 坦搏作?

刷新登录状态让携祥,概率性生成新的 sessionKey(密钥) 和与其对应的 encryptedData(加密数据)

2.再有一点: sessionKey 是有时效性的,如果通过缓存拿取的话,需要先 wx.checkSession()进行检测是否过期

3.那我们就能发现:在先授权(先拿到encryptedData),再调用wx.login()的情况下:

(1).一旦生成了新的sessionKey,就会导致旧的encryptedData无法被解密

(2).即使sessionKey未刷新但是sessionKey过期也会导致无法解密

所以最终解决方案:进入授权页面即调隐让用wx.login(),刷新登录状态(能避免 sessionKey 过期),再进行授权。

如果你申请了开发者帐号,在线上的测孙握试环境中,每则汪庆次授权的sessionKey有效期是24小时,过了24小时,又得要卖家使用帐号陵桐和密码重新授权。

只有在你的应用上线后,才可能一次授权拿到有效期1~2年时间的sessionKey。

本文以抖音小程序(微信小程序获取流程和接口一模一样)为例颂闹培,最近博主在做一个抖音小程序的小项目,前端在获取用户手机号的时候,需要调用 tt.login 接口进行登录,登录后返回一个code,这个code有3分钟的失效时间,根据这个code可以获取到sessionKey,这个sessionKey类似于对称加密的密钥,会对用户信息进行加密。在获取用户信息的时候,前端

需要将 <button>组件 open-type 的值设置为 getPhoneNumber。用户点击后会d出一个授权d窗让用户确认(若该用户账户未绑定手机号码会执行一次绑定手机号码的流程;授权d窗每次使用都会d出)。 用户同意后,开发者可以通过 bindgetphonenumber 事件回调获取到一个加密数据,开发者可以把该数据传回到自己的服务端进行解密获取手机号。

获取到的加密数据需要使用sessionKey进行解密,因此在获取用户信息前,需要登录一次,获取到code,然后根据code获取到sessionKey,再根据sessionKey进行加密数据的解密,解析出手机号。

根据博主猜测,抖音在登录后会生成一个code,和一个对应的sessionKey,在会话期间(session未过期)的时候获取用户信息,会将用户信息使用sessionKey进行数据的加密,进行数据的解密也需要使用到sessionKey。code和sessionKey是对应的,但是它们的失效期是不一样的,code的失效期是3分钟,sessionKey的失效时间是不定的,只要用户活跃在页面上都不会野唯失效。在获取到code的3分钟内调用 code-2-session 接口,会获取到sessionKey,如果3分钟后根据code获取sessionKey将会获取失败,因此解弯慧密也会失败。

因为无法判断用户什么时候开始获取用户信息,所以用户一进入页面,前端就会调用 tt.login 接口进行登录,然后放到localstorage缓存中,在用户点击按钮时,d出授权框用户确认后获取到用户信息的加密数据,然后前端将缓存的code和加密数据一并传给后端。后端用code先去调用 code-2-session 接口获取到sessionKey,然后以sessionKey为密钥进行AES解密,获取到手机号返回给前台。整个流程看起来没什么问题,但是一旦用户在页面停留时间超过3分钟,然后再去获取用户信息会失败,主要是因为code已经失效,获取sessionKey会失败。

目前的问题就是过了code的有效期后,根据code获取sessionKey失败。那么在前端login获取到code后,先缓存到本地,然后立即调用后台接口去获取sessionKey然后缓存到redis里面,key为code,value为sessionKey。失效时间根据自己的业务设置(小程序页面用户不会停留太久,因此缓存失效时间设置为30分钟),用户退出小程序后,会重新login,然后也会存一份新的code和sessionKey的对应值。

用户在授权到用户信息后,前端直接将缓存的code和加密后的用户信息上传到服务到进行解密。服务端根据code从缓存中先获取到sessionKey,然后再用sessionKey进行解密,解析出手机号进行返回。

以上解决办法每次基本都可以获取手机号成功,但是也会存在一些问题

UserInfoController主要提供两个接口,一个是解密手机号和code2seesion *** 作

TiktokEncryptedParam 主要是前端传过来的code和加密后的数据

TiktokUserInfoSPI 主要是对接口的封装

TiktokUserInfoSPIAdapter 实现接口

使用AES对称加密

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/12548424.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
大芒果论坛 大芒果论坛 一级用户组
0 0
上一篇 2023-05-26
下一篇 2023-05-26

发表评论

登录后才能评论

评论列表(0条)

保存