官方文檔文檔內容如下:
驗證消息的確來自微信服務器
開發者提交信息後,微信服務器將發送GET請求到填寫的服務器地址URL上,GET請求攜帶參數如下表所示:
| 參數 | 描述 |
|---|---|
| signature | 微信加密簽名,signature結合了開發者填寫的token參數和 請求中的timestamp參數、nonce參數。 |
| timestamp | 時間戳 |
| nonce | 隨機數 |
| echostr | 隨機字符串 |
開發者通過檢驗signature對請求進行校驗(下面有校驗方式)。若確認此次GET請求來自微信服務器,請原樣返回echostr參數內容,則接入生效,成爲開發者成功,否則接入失敗。加密/校驗流程如下:
1)將token、timestamp、nonce三個參數進行字典序排序 2)將三個參數字符串拼接成一個字符串進行sha1加密 3)開發者獲得加密後的字符串可與signature對比,標識該請求來源於微信
檢驗signature的PHP示例代碼:
private function checkSignature()
{
$signature = $_GET["signature"];
$timestamp = $_GET["timestamp"];
$nonce = $_GET["nonce"];
$token = TOKEN;
$tmpArr = array($token, $timestamp, $nonce);
sort($tmpArr, SORT_STRING);
$tmpStr = implode( $tmpArr );
$tmpStr = sha1( $tmpStr );
if( $tmpStr == $signature ){
return true;
}else{
return false;
}
}
可惜官網只提供了PHP的代碼,我現在把它翻譯成python代碼:
def checkSignature(data):
signature = data.get('signature')
timestamp = data.get('timestamp')
nonce = data.get("nonce")
if not signature or not timestamp or not nonce:
return False
tmp_str = "".join(sorted([TOKEN, timestamp, nonce]))
tmp_str = hashlib.sha1(tmp_str.encode('UTF-8')).hexdigest()
if tmp_str == signature:
return True
else:
return False
在Flask web框架中使用以下代碼測試,已經測試通過:
@app.route('/test', methods=['GET'])
def test():
if checkSignature(request.args):
return "校驗成功"
else:
return "校驗失敗"
不過我個人覺得這個校驗運算也是一筆計算資源的開銷,我用來公衆號開發的測試服務器配置了nginx反向代理,python web程序本身只接收nginx服務器轉發的請求,如果微信公衆號提供了讓nginx只接收微信服務器請求的方法就好了(當然也可能已經有現成的實現我不知道,望知道的大佬能夠指導我一下)。