经常看到有点的小伙伴在群里问小程序用户数据解密流程,所以打算写一篇关于小程序用户敏感数据解密教程;
加密过程微信服务器完成,解密过程在小程序和自身服务器完成,即由 encryptData 得到如下数据:
准备知识:
以上3点对于理解解密流程非常重要 。
根据官方文档,我梳理了大致的解密流程,如下:
重点在6、7、8三个环节。
AES解密三个参数:
服务端解密流程:
下面结合小程序实例说明解密流程:
最后的效果如下:
如果你的小程序没有绑定微信开放平台,解密的数据中不包含unionid参数
小程序绑定微信开放平台连接
从解密的数据看,算得上敏感的数据只有appid;个人觉得openid不是敏感数据,每个用户针对每个公众号会产生一个安全的openid;openid只有在appid的作用域下可用。除非你的appid也泄露了。
那么可以从解密数据得到appid,微信小程序团队是何用意呢?还是前面那句话,openid脱离了appid就什么都不是,openid和appid一起为了方便小程序开发者做到不同小程序应用之间用户区分和隔离,同时能够将微信用户体系与第三方业务体系结合。
所以我认为敏感数据解密的主要用处不是解密后回传给客户端,而是在服务端将微信用户信息融入到自身业务当中。
微信小程序手机号解密步骤一、通过getPhoneNumber用户授权获取获取加密后的手机号信息
<template>
<view class="content">
<button class="login-btn btn2" open-type="getPhoneNumber"
@getphonenumber="getPhoneNumber">手机号快捷登录</button>
</view>
</template>
引用WXBizDataCrypt.js
var WXBizDataCrypt = require('@/pages/index/WXBizDataCrypt.js')
二、解密前先调用wx.login,获取code发送后台返回sessionkey
getPhoneNumber(e) {
console.log('e',e)
var pc = new WXBizDataCrypt('appid',this.sessionKey)
var data = pc.decryptData(e.detail.encryptedData,e.detail.iv)
console.log('解密后 data:',pc)
},
//WXBizDataCrypt.js
电脑微信登入小程序数字信封解密失败是回调中调用wx.login登录,会刷新登录态。。此时服务器使用code换取的sessionKey不是加密时使用的sessionKey,导致解密失败。解决方法是开发者提前进行login。或者在回调中先使用checkSession进行登录态检查,避免login刷新登录状态。欢迎分享,转载请注明来源:内存溢出
评论列表(0条)