c# 微信发送的token验证

小渣渣 · 发表于 2016-8-23 15:49:49

这个token验证，我根本没有从微信官方找到相关文档，

我没找到文档，咋知道微信这个token验证到底是怎么验证的？？？

只能上网搜索，发现验证如下：

在Url对应的处理方法中，获取传递的参数，进行加密/校验
流程如下：
1. 将token、timestamp、nonce三个参数进行字典序排序
2. 将三个参数字符串拼接成一个字符串进行sha1加密
3. 开发者获得加密后的字符串可与signature对比，标识该请求来源于微信

然后，知道这个玩意了，我就直接把微信get请求过来的url连接记录下来，方便自己调试。

最后，写了个加密方法如下：

/// <summary>
/// sign签名
/// </summary>
/// <param name="dic"></param>
/// <returns></returns>
public static string Sign(string[] dic)
{
//将token、timestamp、nonce三个参数进行字典序排序
Array.Sort(dic);//字典排序
string tmpStr = string.Join("", dic);
return SHA1(tmpStr).ToLower();
}

复制代码

这里是直接把value进行排序，并不是根据key排序取value，我一开始犯了这个错误，

因为一般都是key排序，然后key加value一起加密，或者只把value加密。。。

最后把加密后的string和signture做比较，如果对，直接返回微信服务器发送给你的echostr参数。

如果，你偷懒的话，直接返回echostr参数值算了。

小渣渣 · 发表于 2016-8-23 15:53:51

public void Auth()
{
string echoStr = HttpContext.Current.Request.QueryString["echostr"];
if (CheckSignature()) //校验签名是否正确
{
if (!string.IsNullOrEmpty(echoStr))
{
HttpContext.Current.Response.Write(echoStr); //返回原值表示校验成功
HttpContext.Current.Response.End();
}
}
}
/// <summary>
/// 验证微信签名
/// * 将token、timestamp、nonce三个参数进行字典序排序
/// * 将三个参数字符串拼接成一个字符串进行sha1加密
/// * 开发者获得加密后的字符串可与signature对比，标识该请求来源于微信。
/// </summary>
/// <returns></returns>
private bool CheckSignature()
{
string signature = HttpContext.Current.Request.QueryString["signature"];
string timestamp = HttpContext.Current.Request.QueryString["timestamp"];
string nonce = HttpContext.Current.Request.QueryString["nonce"];
//加密/校验流程：
//1. 将token、timestamp、nonce三个参数进行字典序排序
string[] ArrTmp = { ConfigHelper.Token, timestamp, nonce };
Array.Sort(ArrTmp);//字典排序
//2.将三个参数字符串拼接成一个字符串进行sha1加密
string tmpStr = string.Join("", ArrTmp);
tmpStr = FormsAuthentication.HashPasswordForStoringInConfigFile(tmpStr, "SHA1");
tmpStr = tmpStr.ToLower();
//3.开发者获得加密后的字符串可与signature对比，标识该请求来源于微信。
if (tmpStr == signature)
{
return true;
}
else
{
return false;
}
}

复制代码

public class HomeController :BaseController
{
private const string Token = "TokenWeiXin";
[HttpGet]
[ActionName("Index")]
public ActionResult Get(string signature, string timestamp, string nonce, string echostr)
{
if (CheckSignature.Check(signature, timestamp, nonce, Token))
return Content(echostr);//返回随机字符串则表示验证通过
else
//return Content("failed:" + signature + "," + CheckSignature.GetSignature(timestamp, nonce, Token));
return View();
}
[HttpPost]
[ActionName("Index")]
public ActionResult Post(string signature, string timestamp, string nonce, string echostr)
{
if (!CheckSignature.Check(signature, timestamp, nonce, Token))
{
return Content("参数错误！");
}
var messageHandler = new CustomMessageHandler(Request.InputStream);//接收消息
messageHandler.Execute();//执行微信处理过程
return new WeixinResult(messageHandler);
}
}

复制代码

网上找的

小渣渣 · 发表于 2016-8-24 13:06:07

http://mp.weixin.qq.com/wiki/4/2ccadaef44fe1e4b0322355c2312bfa8.html

找到文档了

在开发者首次提交验证申请时，微信服务器将发送GET请求到填写的URL上，并且带上四个参数（signature、timestamp、nonce、echostr），开发者通过对签名（即signature）的效验，来判断此条消息的真实性。

此后，每次开发者接收用户消息的时候，微信也都会带上前面三个参数（signature、timestamp、nonce）访问开发者设置的URL，开发者依然通过对签名的效验判断此条消息的真实性。效验方式与首次提交验证申请一致。

参数	描述
signature	微信加密签名，signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。
timestamp	时间戳
nonce	随机数
echostr	随机字符串

开发者通过检验signature对请求进行校验（下面有校验方式）。若确认此次GET请求来自微信服务器，请原样返回echostr参数内容，则接入生效，成为开发者成功，否则接入失败。

加密/校验流程如下：1. 将token、timestamp、nonce三个参数进行字典序排序2. 将三个参数字符串拼接成一个字符串进行sha1加密3. 开发者获得加密后的字符串可与signature对比，标识该请求来源于微信

gaomanxiang · 发表于 2021-10-7 20:56:07

这些大公司开放文档不友好

		自动登录	找回密码
密码			注册[Register]

[资料] c# 微信发送的token验证

相关帖子