1. 程式人生 > >微信公眾號token驗證失敗

微信公眾號token驗證失敗

文檔 得到 list 排序 Once hex str ken map()

我用的是python3+,而官網給的例子是python2的寫法。問題就在python版本不同。

下面是截取官方的實例代碼的一部分

list = [token, timestamp, nonce]
list.sort()
sha1 = hashlib.sha1()
map(sha1.update, list)
hashcode = sha1.hexdigest()

我就直接告訴你這一段錯了。也是在我對比微信驗證時發送的信息後才得出的結論。以下是在網上找到的加密原理,可以選擇性看看。

當我們點擊了提交後,微信服務器會向我們所填寫的那個URL發起一個GET請求,並攜帶以下幾個參數:timestamp, nonce, echostr, signature。其中timestamp是一個時間戳,nonce是一個隨機數,echostr也是隨機數,這幾個都很普通,重點在於signature,它的生成方式是將nonce、timestamp和token(也就是我們在網頁中配置的TOKNE)三個字符串按照字典序排序後,對排序後得到的字符串數組使用哈希加密算法得到。我們的服務器在收到這個GET請求後,提取對應的參數,並按照前面說的方式生成hashcode,如果這個值與參數中的signature相同,那麽我們就將echostr返回給微信服務器,否則返回空值。微信服務器收到這個echostr之後,驗證這個值與它發送的echostr值是否相同,如果相同,說明這個值的確是由我們的服務器返回的,從而完成驗證,今後所有的信息就都可以發送到這個服務器地址上。這裏面涉及到了一些安全認證的相關知識,有興趣的朋友可以去查閱更詳細的資料。總的來說,就是讓通信的雙方都能夠確認對方的真實身份。

token驗證失敗的原因在於map函數。應該是python的2和3不一樣吧。map函數第一個參數是一個函數,第二個參數是一個列表。作用是把第一個函數依次作用於列表中的每個元素。

這裏我又學到了hashlib的一些東西。update是防止數據過大,所以可以用update依次添加要加密的數據。

所以綜上可以看出,微信的加密就是現將list排序,然後依次將排序後的列表的每個元素用update合並成總的要加密的數據。貼一段代碼幫助理解

import hashlib
sha1 = hashlib.sha1()
    sha1.update(a.encode(utf-8))
    sha1.update(
b.encode(utf-8)) sha1.update(c.encode(utf-8)) 等同於: sha1.update(abc.encode(utf-8)) hashcode = sha1.hexdigest() #獲取加密串

所以在python3下,加密的算法要改成如下

list = [token, timestamp, nonce]
list.sort()
sha1 = hashlib.sha1()
sha1.update(list[0].encode(utf-8))
sha1.update(list[1].encode(
utf-8)) sha1.update(list[2].encode(utf-8)) hashcode = sha1.hexdigest()

經過一通折騰,終於解決問題了。忍不住吐槽,python3都這麽長時間了,為什麽開發文檔還不更新。而且還有好多程序都還是在python2下。唉,又是python一大詬病。

不說了,折騰了一個這東西,餓死了。吃飯去了。

參考文章:

手把手教你入門微信公眾號開發

hashlib

python map()函數

python中sha1 md5等用法

微信公眾號token驗證失敗