官网流程概述
微信官方网页对于微信小程序获取用户手机号的处理描述如下
这页主要是对前端做法的描述,主要描述了前端应该提前通过wx.login登陆,或者进行登录态检查,以此避免刷新登录态的操作,避免出现服务端存的sessionKey不是最新的sessionKey从而出现敏感数据解密失败的问题。前端通过button触发bindgetphonenumber事件,拿到加密数据传给后端,后端通过解密算法解密。
后端逻辑
微信会对这些开放数据做签名和加密处理。开发者后台拿到开放数据后可以对数据进行校验签名和解密,来保证数据不被篡改。所以
1、前端通过调用接口(如 wx.getUserInfo)获取数据时,接口会同时返回 rawData、signature,其中 signature = sha1( rawData + session_key )
2、开发者将 signature、rawData 发送到开发者服务器进行校验。服务器利用用户对应的 session_key 使用相同的算法计算出签名 signature2 ,比对 signature 与 signature2 即可校验数据的完整性。
数据校验
后端拿到rawData后通过SHA1()算法对后端存储的sessionKey进行SHA1(rowData,sessionKey)加密,如果得到的signature与前端传来的signature一致,则校验成功。(获取用户手机号时数据校验不是必须的,所以此处只叙述逻辑并未实现)
数据解密
官方文档对数据解密的解释是这样的:
接口如果涉及敏感数据(如wx.getUserInfo当中的 openId 和 unionId),接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据,需要对接口返回的加密数据(encryptedData) 进行对称解密。 解密算法如下:
对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充。
对称解密的目标密文为 Base64_Decode(encryptedData)。
对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
对称解密算法初始向量 为Base64_Decode(iv),其中iv由数据接口返回。
所以笔者进行数据解密时采用了网络上搜的解密工具使用
我得到简洁的解密工具如下:
public class AesUtil {
public static String wxDecrypt (String encrypted, String sessionKey, String iv)throws Exception {
byte[] encrypData = Base64.decodeBase64(encrypted);
byte[] ivData = Base64.decodeBase64(iv);
byte[] sKey = Base64.decodeBase64(sessionKey);
String decrypt = decrypt(sKey,ivData,encrypData);
return decrypt;
}
public static String decrypt(byte[] key, byte[] iv, byte[] encData) throws Exception {
AlgorithmParameterSpec ivSpec = new IvParameterSpec
最低0.47元/天 解锁文章
扫一扫
2042
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
