PHP微信JS-SDK获取access_token,jsapi_ticket,signature权限签名算法
需求:微信公众号文章里面点击链接直接打开微信小程序,在后端生成签名后供前端同事使用。
一.先看微信JS-SDK文档
微信文档:附录1-JS-SDK使用权限签名算法
文档地址:https://developers.weixin.qq.com/doc/offiaccount/OA_Web_Apps/JS-SDK.html#62
jsapi_ticket
生成签名之前必须先了解一下jsapi_ticket,jsapi_ticket是公众号用于调用微信JS接口的临时票据。正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取。由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,开发者必须在自己的服务全局缓存jsapi_ticket 。
1.获取access_token(有效期7200秒,开发者必须在自己的服务全局缓存access_token):
https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.htm
public function GetAccessToken(){
$url = "https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=".'自己的appid'."&secret=".'自己的secret';
$result = $this->https_request($url,'',true,'get');//http请求,贴在下面
return $result;
}2.用第一步拿到的access_token 采用http GET方式请求获得jsapi_ticket(有效期7200秒,开发者必须在自己的服务全局缓存jsapi_ticket):
https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=ACCESS_TOKEN&type=jsapi
$url = "https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=".获取的access_token."&type=jsapi";
$request = $this->https_request($url,'',true,'get');//http请求,贴在下面
$result = json_decode($request,true);
return $result;成功返回如下JSON:
{
"errcode":0,
"errmsg":"ok",
"ticket":"bxLdikRXVbTPdHSM05e5u5sUoXNKd8-41ZO3MhKoyN5OfkWITDGgnr2fwJ0m9E8NYzWKVZvdVtaUgWvsdshFKA",
"expires_in":7200
}获得jsapi_ticket之后,就可以生成JS-SDK权限验证的签名了。
二.PHP实现signature
签名算法
签名生成规则如下:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的URL,不包含#及其后面部分) 。对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1。这里需要注意的是所有参数名均为小写字符。对string1作sha1加密,字段名和字段值都采用原始值,不进行URL 转义。
即signature=sha1(string1)。 :
//http请求
public static function https_request($curl, $data=null, $https=true, $method='post'){
$ch = curl_init();//初始化
curl_setopt($ch, CURLOPT_URL, $curl);//设置访问的URL
curl_setopt($ch, CURLOPT_HEADER, false);//设置不需要头信息
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);//只获取页面内容,但不输出
if($https){
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);//不做服务器认证
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);//不做客户端认证
}
if($method == 'post'){
curl_setopt($ch, CURLOPT_POST, true);//设置请求是POST方式
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);//设置POST请求的数据
}
$str = curl_exec($ch);//执行访问,返回结果
curl_close($ch);//关闭curl,释放资源
return $str;
}
//随机字符串
function randomkeys($length)
{
$key = '';
$pattern = '1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLOMNOPQRSTUVWXYZ';
for($i=0;$i<$length;$i++)
{
$key .= $pattern{mt_rand(0,35)}; //生成php随机数
}
return $key;
}
public function GetSign(){
//时间戳
$nTime = time();
//随机字符串
$sStr = $this->randomkeys(16);
$sUrl = '';// 注意 URL 建议动态获取(也可以写死)
//拼接字符串
$sSign = "jsapi_ticket=".获取的ticket."&noncestr=".$sStr."×tamp=".$nTime."&url=".$sUrl;
$sSigns = sha1($sSign);//签名
//需要提供给前端的数据
$sData = array(
'appId'=>'自己的appid',//公众号的唯一标识
'timestamp'=>$nTime,//生成签名的时间戳
'nonceStr'=>$sStr,//生成签名的随机串
'signature'=>$sSigns//签名
);
return $sData;
}注:由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,开发者必须在自己的服务全局缓存jsapi_ticket。
(存到缓存中的逻辑代码需要你自己写了,看你想存到mysql,redis或者session)
注意事项:
1、签名用的noncestr和timestamp必须与wx.config中的nonceStr和timestamp相同。
2、签名用的url必须是调用JS接口页面的完整URL。
3、出于安全考虑,开发者必须在服务器端实现签名的逻辑。
-------------------------------------------------------------------------------------------------------------------------------------
以上的东西加起来就是四步:
1、使用appid和appsecret获取access_token;
2、使用access_token获取jsapi_ticket ;
3、用时间戳、随机数、jsapi_ticket和要访问的url按照签名算法拼接字符串;
4、对第三步的字符串进行sha1加密,得到签名。
--------------------------------------------------------------------------------------------------------------------------------------------
以上的时间戳、随机数、签名一定要跟方法中获取到的一致,否则会报invalid signature错误。
另外,这个签名的有效时间为7200秒,也就是2个小时,因此当超过两个小时候,再访问也会报invalid signature错误。
另外还有一个错误:invalid url domain
这个跟生成签名时用的url有关系,官网的说法是:
invalid url domain当前页面所在域名与使用的appid没有绑定,请确认正确填写绑定的域名,如果使用了端口号,则配置的绑定域名也要加上端口号(一个appid可以绑定三个有效域名)
进入公众号后,设置==》公众号设置==》功能设置==》JS接口安全域名
ip白名单也加一下
若是以上的配置没有问题,且dubug也设置为了true,那么再访问的时候,就会出现一个config:ok,这就说明配置成功了。