微信access_token設(shè)計(jì)的原理解析

　　1、access_token是加密的字符串，其目的是為了接口安全考慮，不然隨便就能調(diào)用微信服務(wù)器的接口會(huì)有很大風(fēng)險(xiǎn)。

　　2、用戶在公眾號(hào)中填寫的Token就相當(dāng)于本項(xiàng)目中的xiaoming，是簽名驗(yàn)證中的一個(gè)參數(shù)，來保證簽名的安全。

　　3、EncodingAESKey由開發(fā)者手動(dòng)填寫或隨機(jī)生成，將用作消息體加解密密鑰。

　　4、signature：微信加密簽名，signature結(jié)合了開發(fā)者填寫的token參數(shù)和請求中的timestamp參數(shù)、nonce參數(shù)。

　　5、timestamp：時(shí)間戳。

　　6、nonce：隨機(jī)數(shù)。

　　7、echostr：隨機(jī)字符串。

　　8、微信signature加密/校驗(yàn)流程：

　?。?）將token、timestamp、nonce三個(gè)參數(shù)進(jìn)行字典序排序。

　?。?）將三個(gè)參數(shù)字符串拼接成一個(gè)字符串進(jìn)行sha1加密。

　?。?）開發(fā)者獲得加密后的字符串可與signature對(duì)比，標(biāo)識(shí)該請求來源于微信。

　　9、OpenID：為了識(shí)別用戶，每個(gè)用戶針對(duì)每個(gè)公眾號(hào)會(huì)產(chǎn)生一個(gè)安全的OpenID，OpenID是使用用戶微信號(hào)加密后的結(jié)果，每個(gè)用戶對(duì)每個(gè)公眾號(hào)有一個(gè)的OpenID，開發(fā)者可通過OpenID來獲取用戶基本信息。

　　10、UnionID：用來區(qū)分用戶的性，因?yàn)橹灰峭粋€(gè)微信開放平臺(tái)帳號(hào)下的移動(dòng)應(yīng)用、網(wǎng)站應(yīng)用和公眾帳號(hào)，用戶的UnionID是的。換句話說，同一用戶，對(duì)同一個(gè)微信開放平臺(tái)帳號(hào)下的不同應(yīng)用，UnionID是相同的。

　　11、AppID：接口身份證號(hào)。

　　12、AppSecret：密碼。

　　13、access_token：公眾號(hào)的全局票據(jù)（登陸后的憑據(jù)，證明你已經(jīng)登陸，相當(dāng)于你拿著票去看演唱會(huì)，說明你已經(jīng)買票了，才會(huì)讓你進(jìn)）。

　　14、expires_in：access_token過期時(shí)間，因?yàn)檫@里是第三方服務(wù)器調(diào)用，所以微信服務(wù)器必須返回告知給第三方服務(wù)器過期時(shí)間，從而讓第三方服務(wù)器更好處理。

　　15、access_token使用注意事項(xiàng)：

　?。?）為了保密appsecrect，第三方需要一個(gè)access_token獲取和刷新的中控服務(wù)器。而其他業(yè)務(wù)邏輯服務(wù)器所使用的access_token均來自于該中控服務(wù)器，不應(yīng)該各自去刷新，否則會(huì)造成access_token覆蓋而影響業(yè)務(wù)。

　　（2）目前access_token的有效期通過返回的expire_in來傳達(dá)，目前是7200秒之內(nèi)的值。中控服務(wù)器需要根據(jù)這個(gè)有效時(shí)間提前去刷新新access_token。在刷新過程中，中控服務(wù)器對(duì)外輸出的依然是老access_token，此時(shí)公眾平臺(tái)后臺(tái)會(huì)保證在刷新短時(shí)間內(nèi)，新老access_token都可用，這保證了第三方業(yè)務(wù)的平滑過渡。

　　（3）3、access_token的有效時(shí)間可能會(huì)在未來有調(diào)整，所以中控服務(wù)器不僅需要內(nèi)部定時(shí)主動(dòng)刷新，還需要提供被動(dòng)刷新access_token的接口，這樣便于業(yè)務(wù)服務(wù)器在API調(diào)用獲知access_token已超時(shí)的情況下，可以觸發(fā)access_token的刷新流程。

　　16、access_token兩小時(shí)過期時(shí)間的設(shè)計(jì)原因（網(wǎng)絡(luò)解釋）：access_token的過期也是為安全考慮。

　　（1）想象一種情況，我授權(quán)了一個(gè)應(yīng)用，它拿到了我的access_token，然后我忘記我授權(quán)過了，于是我以后每次發(fā)布的內(nèi)容都被它拿去存起來，或者它利用我的賬號(hào)偷偷的發(fā)消息，我一點(diǎn)都不知道。這種情況還是很可怕的。

　?。?）如果只是做登錄，確實(shí)不需要accesstoken，因?yàn)橐呀?jīng)有openid或者uid跟你的用戶對(duì)應(yīng)起來了。但是，這是授權(quán)行為啊，意味這第三方應(yīng)用可以拿著accesstoken去取你的數(shù)據(jù)啊。所以這里就需要時(shí)效性來保證安全了。

　　17、微信access_token兩小時(shí)過期時(shí)間的設(shè)計(jì)原因（自我理解）：微信的token兩小時(shí)刷新一次是因?yàn)榈谌椒?wù)器接入微信服務(wù)器，目的是獲取微信服務(wù)器中的數(shù)據(jù)，也就是所謂的第三方登陸，用戶通過第三方服務(wù)器登陸，第三方服務(wù)器再去微信平臺(tái)獲取數(shù)據(jù)，這樣就需要一個(gè)授權(quán)的過程，也就是說微信服務(wù)器同意你某個(gè)第三方服務(wù)器獲取數(shù)據(jù)才行，為了把控這個(gè)授權(quán)過程，不會(huì)因?yàn)槭跈?quán)之后就一直能獲取微信服務(wù)器數(shù)據(jù)這種情況的發(fā)生，所以才有了兩小時(shí)刷新一次。

　　18、微信服務(wù)器接口訪問次數(shù)限制：微信服務(wù)器接口訪問限制次數(shù)是為了防止第三方服務(wù)器因?yàn)槌绦蝈e(cuò)誤無限調(diào)用微信服務(wù)器從而使得微信服務(wù)器崩潰，所以才有的訪問次數(shù)限制。

　　19、簽名驗(yàn)證：驗(yàn)證消息的確來自微信服務(wù)器（本項(xiàng)目中為：驗(yàn)證參數(shù)的確來自于本項(xiàng)目安卓客戶端）。

http://ywxrmy.cn/jianzhanzhishi/7174.html 微信access_token設(shè)計(jì)的原理解析