被動鑑權操作其實是微信在校驗服務器真實性的一個行爲,微信通過你在微信公衆平臺設置的參數和地址來請訪問你的服務器,通過校驗加密數據確認安全性。
配置url的時候微信會進行鑑權,包括後期的微信會定時來和一些行爲
觸發的時候他也會來調用鑑權接口
url是你的接口訪問地址,用來鑑權的接口地址 token是你的密鑰, 消息密鑰暫時不做介紹, 加密方式採用明文模式,即可
public static boolean checkSignature(HttpServletRequest request) {
String signature = null;
String stnStr = null;
try {
//微信加密簽名
signature = request.getParameter("signature");
//時間戳
String timestamp = request.getParameter("timestamp");
//隨機數
String nonce = request.getParameter("nonce");
String[] arra = new String[]{該參數爲Token, timestamp, nonce};
//將token,timestamp,nonce組成數組進行字典排序
Arrays.sort(arra);
StringBuilder sb = new StringBuilder();
for (int i = 0; i < arra.length; i++) {
sb.append(arra[i]);
}
MessageDigest md = null;
stnStr = null;
try {
md = MessageDigest.getInstance("SHA-1");
byte[] digest = md.digest(sb.toString().getBytes());
stnStr = byteToStr(digest);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
//釋放內存
sb = null;
//將sha1加密後的字符串與signature對比,標識該請求來源於微信
} catch (Exception e) {
logger.error("WeChatBaseUtil.checkSignature--系統異常:", e);
}
return stnStr != null ? stnStr.equals(signature.toUpperCase()) : false;
}