1,服务器先通过appid,secret向微信来获取access_token。
2,当服务器拿到微信返回过来的access_token之后,会拿着access_token再次向微信发起请求来获取jsapi_ticket。
3,当服务器拿到微信返回的jsapi_ticket之后,会通过微信的算法来对数据加密签名,生成signature。
4,服务器把这些noncestr,timestamp,url,jsapi_ticket,signature发给客户端,客户端就拿着这些数据去请求微信。
5,微信会对noncestr,timestamp,url,jsapi_ticket进行加密签名,然后和客户端发送过来的signature进行比对,以防止篡改数据。
需要注意的是,这里的access_token是微信对公众号调用jsapi接口的授权,不是获取用户信息的授权。
这里的access_token是根据appid和scerct生成的,所以私密性更高。
因为access_token是不变的,所以微信增加了一个jsapi_ticket字段来保证安全性,jsapi_ticket是访问jsapi票据,有时间限制,为7200秒,但是微信规定不能频繁调jsapi_ticket,所以需要把jsapi_ticket保存在缓存中。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
