微信小程序开发:打通微信和小程序之间用户数据的坑
程序员文章站
2024-03-19 08:59:46
...
背景:公司有APP和公众号,都绑定了开放平台,用unionid来区分用户。一天需要做一个小程序,这个时候要打通我们的用户库,然后必须拿到小程序unionid。当时公众号与小程序都互相绑定,调用前端调用小程序官方文档的登录方法拿到code给我换取用户标识,如下:
示例代码:
//app.js
App({
onLaunch: function() {
wx.login({
success: function(res) {
if (res.code) {
//发起网络请求
wx.request({
url: 'https://test.com/onLogin',
data: {
code: res.code
}
})
} else {
console.log('登录失败!' + res.errMsg)
}
}
});
}
})
我拿code去换取用户信息,官方文档明确指出不让小程序端获取用户敏感信息,所以都是服务端来完成的,请求链接跟微信获取用户信息非常相似,这个时候被第一个坑踩中了:
解决上面的坑,然后就来拉取用户标识,小程序code是得不到用户所有的信息,官方文档又给出说明:
其中满足的条件官方文档说的不是很清晰,我们当时小程序和公众号互绑了,但是就只有微信绑定到了开放平台上,小程序没有,我们以为这样可以返回unionid,第二个坑小程序也是需要绑定开放平台的,当时以为是符合unionid的情况,以为这样获取不到,继续查看官方文档:
返回的数据中有一个encryptedData加密参数,包括敏感数据在内的完整用户信息的加密数据,接下来就是解密了,官方提供了c++,Node,python语言的demo,Java找到的基本上都是如下:
需要导入两个重要的jar包:
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.codehaus.xfire.util.Base64;
pom文件也需要导入下面的依赖,xfire是用于解密base64的编码,不导入这个包也可以用base64decode进行解码,bouncycastle亲测没有用,不导入也是可以解密成功的,所以图简单的pom文件基本上不需要加任何依赖
<!--小程序解密参数jar-->
<dependency>
<groupId>org.codehaus.xfire</groupId>
<artifactId>xfire-core</artifactId>
<version>1.2.6</version>
</dependency>
<dependency>
<groupId>org.bouncycastle</groupId>
<artifactId>bcprov-jdk16</artifactId>
<version>1.46</version>
</dependency>
接下来就是解密的算法了:
public static JSONObject getUserInfo(String encryptedData, String sessionKey, String iv) {
try {
byte[] dataByte = Base64.decode(encryptedData);
byte[] keyByte = Base64.decode(sessionKey);
byte[] ivByte = Base64.decode(iv);
//**必须是16位的整数倍
int base = 16;
if (keyByte.length % base != 0) {
int groups = keyByte.length / base + (keyByte.length % base != 0 ? 1 : 0);
byte[] temp = new byte[groups * base];
Arrays.fill(temp, (byte) 0);
System.arraycopy(keyByte, 0, temp, 0, keyByte.length);
keyByte = temp;
}
// 初始化
Security.addProvider(new BouncyCastleProvider());
Cipher cipher = Cipher.getInstance("AES/CBC/PKCS7Padding","BC");
SecretKeySpec spec = new SecretKeySpec(keyByte, "AES");
AlgorithmParameters parameters = AlgorithmParameters.getInstance("AES");
parameters.init(new IvParameterSpec(ivByte));
// 初始化
cipher.init(Cipher.DECRYPT_MODE, spec, parameters);
byte[] resultByte = cipher.doFinal(dataByte);
if (null != resultByte && resultByte.length > 0) {
String result = new String(resultByte, "UTF-8");
return JSONObject.parseObject(result);
}
} catch (Exception ex) {
System.out.println("解密失败");
ex.printStackTrace();
}
return null;
}
都弄好了后就是实现方法了,当时思路是让前端登录拿到code的同时也去访问用户信息拿到解密的关键数据,我们当时用的是get请求,这个时候踩了个第三个大坑,前端传的加密参数encryptedData中有用+号拼起来的长串字符串,在传输的时候+字符会自动转译为空格,如下:
14zZ4xDT39FrcltAZ3VpAD0ZYlHnjRPDGChIYMSteakmghnZbkxleBuo twdkfEIaJxtj/c0nY wQArWz/7cG7F7YhNRMh3 4ADLVSzoCCJigcCN9UOxl6EdeTyfTGUFSh32OxhVF3469sB0LdYW15C hIMZ3esiVNuugcnayJHM5PRVOepWetlZYUT/5gr7wWkIJk IG8gYdGQC7zx9gsYiF7Db/nVll3fwQOMWxPOZGN5RAb83sghik2kpn18bUTGJp6QyCwOaemprpPQ3GK5pnF3KzEo0LX4xwPzN7sRE/f/HB0n1JFou2PlrTYfgyhndBnmSz/lKXEyzpzolL5UfKlFDQPs 1qsuuDdGtk7qxdGQfbs1FgUW2mfnRmQnbbAzeByjQaAL2xL2NpNiX72oNhMMejoR0zU6anD4knneRbvAXjhhU2c1tzoupR7UaQqljpIOHQDtL4B4A qa2mYhwm/qy1juNnQYFQKHKak=
14zZ4xDT39FrcltAZ3VpAD0ZYlHnjRPDGChIYMSteakmghnZbkxleBuo+twdkfEIaJxtj/c0nY+wQArWz/7cG7F7YhNRMh3+4ADLVSzoCCJigcCN9UOxl6EdeTyfTGUFSh32OxhVF3469sB0LdYW15C+hIMZ3esiVNuugcnayJHM5PRVOepWetlZYUT/5gr7wWkIJk+IG8gYdGQC7zx9gsYiF7Db/nVll3fwQOMWxPOZGN5RAb83sghik2kpn18bUTGJp6QyCwOaemprpPQ3GK5pnF3KzEo0LX4xwPzN7sRE/f/HB0n1JFou2PlrTYfgyhndBnmSz/lKXEyzpzolL5UfKlFDQPs+1qsuuDdGtk7qxdGQfbs1FgUW2mfnRmQnbbAzeByjQaAL2xL2NpNiX72oNhMMejoR0zU6anD4knneRbvAXjhhU2c1tzoupR7UaQqljpIOHQDtL4B4A+qa2mYhwm/qy1juNnQYFQKHKak=
当时都怀疑半天解密算法了,后来对比前后端数据才发现问题所在。解决办法有两个,一个是在前端传输的时候对参数进行URL编码,然后再后端来解码后进行解密,第二种办法就是用post请求已json对象的方式传输,完美解决。
当然并没有完,当时以为没问题,结果推服务器上测试时踩了第四个坑,发现会出现间歇性的解密失败,线下进行了不断的登录调试,发现于code换取的sessionkey参数过期时间有关,每次新的sessionkey第一次解密的时候都会失败,当时考虑应该就是碰到了临界问题,但是官方也比较坑没有说sessionkey的具体缓存时间,只说明用户越频繁使用小程序,session_key有效期越长。服务器端缓存也没有意义。
解决办法,小程序官方有一个获取sessionkey:
示例代码:
wx.checkSession({
success: function(){
//session_key 未过期,并且在本生命周期一直有效
},
fail: function(){
// session_key 已经失效,需要重新执行登录流程
wx.login() //重新登录
....
}
})
现在逻辑就变更为了每次去判断sessionkey是否过期,没有过期再来进行解密,过期了就重新拉取解密相关参数。至此,小程序登录与公众号用户打通完全实现。坑也比较多,很多的方法都没有给具体服务端的实现,都是靠前端的配合,没有微信方便都可以服务端自己来解决。当然也可以用全局access_token进行获取,下篇编写。希望对大家开发会有帮助,如有错误也欢迎大家指正。
上一篇: C/C++ 小程序:表达式计算器
下一篇: 疑难问题 2020-11-24