微信access_token設(shè)計(jì)原理分析1，access_token是一個(gè)加密字符串，其目的是為了接口安全考慮，否則調(diào)用微信服務(wù)器的接口可能非常危險(xiǎn)。 2.用戶在公共賬戶中填寫(xiě)的令牌相當(dāng)于項(xiàng)目中的xiaoming，這是簽名驗(yàn)證中的一個(gè)參數(shù)，用于確保簽名的安全性。 3. EncodingAESKey由開(kāi)發(fā)人員手動(dòng)填寫(xiě)或隨機(jī)生成，并將用作郵件正文加密和解密密鑰。 4，簽名：微信加密簽名，簽名結(jié)合開(kāi)發(fā)人員填寫(xiě)的令牌參數(shù)和請(qǐng)求中的timece參數(shù)，nonce參數(shù)。 5，時(shí)間戳：時(shí)間戳。 6，隨機(jī)數(shù)：隨機(jī)數(shù)。 7，echostr：隨機(jī)字符串。 8,微信簽名加密/驗(yàn)證過(guò)程：（1）令牌，時(shí)間戳，nonce三個(gè)參數(shù)用于字典排序。 （2）將三個(gè)參數(shù)字符串組合成一個(gè)用于sha1加密的字符串。 （3）開(kāi)發(fā)人員獲取加密字符串并將其與簽名進(jìn)行比較，簽名用于標(biāo)識(shí)來(lái)自微信的請(qǐng)求。 9. OpenID：為了識(shí)別用戶，每個(gè)用戶將為每個(gè)公共號(hào)碼生成安全的OpenID，OpenID是用戶。由于加密微信，每個(gè)用戶對(duì)每個(gè)公共號(hào)碼都有一個(gè)OpenID，開(kāi)發(fā)人員可以通過(guò)OpenID獲取基本用戶信息。 10. UnionID：用于區(qū)分用戶的性取向，因?yàn)橹灰峭粋€(gè)移動(dòng)應(yīng)用程序，網(wǎng)站應(yīng)用程序和公共帳戶下的微信開(kāi)放平臺(tái)帳戶，用戶的UnionID就是。換句話說(shuō)，同一用戶，UnionID對(duì)于同一微信開(kāi)放平臺(tái)帳戶下的不同應(yīng)用程序是相同的。 11，AppID：接口ID號(hào)。 12. AppSecret：密碼。 13，access_token：全局賬單的公共號(hào)碼（登陸后登錄，證明你已經(jīng)登錄，相當(dāng)于持票看到演唱會(huì)，表明你已經(jīng)買(mǎi)了票，會(huì)讓你進(jìn)入）。 14，expires_in：access_token到期時(shí)間，因?yàn)檫@是第三方服務(wù)器調(diào)用，所以微信服務(wù)器必須返回第三方服務(wù)器到期時(shí)間，這樣第三方服務(wù)器處理得更好。 15，access_token使用注意事項(xiàng)：（1）為了保密，第三方需要access_token來(lái)獲取和刷新中央控制服務(wù)器。其他業(yè)務(wù)邏輯服務(wù)器使用的access_tokens都來(lái)自中央控制服務(wù)器，不應(yīng)單獨(dú)刷新。否則，access_token將被覆蓋，服務(wù)將受到影響。 （2）access_token的當(dāng)前到期日期由expired_in傳送，該當(dāng)前時(shí)間在7200秒內(nèi)。中央控制服務(wù)器需要根據(jù)該有效時(shí)間刷新新的access_token。在刷新過(guò)程中，外部控制服務(wù)器仍然輸出舊的access_token。此時(shí)，公共平臺(tái)背景將確保新舊access_tokens在短時(shí)間內(nèi)可用，從而確保第三方服務(wù)的平穩(wěn)過(guò)渡。 （3）3，access_token的有效時(shí)間可以在將來(lái)調(diào)整，所以中央控制服務(wù)器不僅需要內(nèi)部定時(shí)主動(dòng)刷新，還需要提供一個(gè)被動(dòng)刷新access_token的接口，這樣服務(wù)服務(wù)器才能了解在API調(diào)用已知后access_token已超時(shí)。可以觸發(fā)access_token的刷新過(guò)程。 16，access_token兩小時(shí)到期時(shí)間設(shè)計(jì)原因（網(wǎng)絡(luò)解釋）：access_token到期也是出于安全考慮。 （1）想象一下情況，我授權(quán)了一個(gè)應(yīng)用程序，它得到了我的access_token，然后我忘記了我的授權(quán)，所以每次我發(fā)布它都會(huì)保存它，或者它會(huì)使用我的秘密地不知道帳戶發(fā)送消息。這種情況仍然很糟糕。 （2）如果您只是登錄，則不需要accessstoken，因?yàn)橐呀?jīng)有與您的用戶關(guān)聯(lián)的openid或uid。但是，這是授權(quán)行為，這意味著此第三方應(yīng)用程序可以使用accessstoken來(lái)獲取您的數(shù)據(jù)。所以在這里我們需要及時(shí)性來(lái)確保安全。 17,微信access_token兩小時(shí)到期時(shí)間設(shè)計(jì)原因（自我理解）：微信令牌刷新兩小時(shí)因?yàn)榈谌椒?wù)器訪問(wèn)微信服務(wù)器，目的是獲取微信服務(wù)器中的數(shù)據(jù)，也稱為第三方登錄，user用戶通過(guò)第三方服務(wù)器登錄后，第三方服務(wù)器進(jìn)入微信平臺(tái)獲取數(shù)據(jù)。這需要授權(quán)過(guò)程。也就是說(shuō)，微信服務(wù)器同意第三方服務(wù)器獲取數(shù)據(jù)。為了控制這個(gè)授權(quán)過(guò)程，它不會(huì)因?yàn)槭跈?quán)后已經(jīng)獲得了微信服務(wù)器數(shù)據(jù)的情況，它會(huì)在兩小時(shí)內(nèi)刷新。 18,微信服務(wù)器接口訪問(wèn)限制：微信服務(wù)器接口訪問(wèn)限制數(shù)是為了防止第三方服務(wù)器因程序錯(cuò)誤而調(diào)用微信服務(wù)器，導(dǎo)致微信服務(wù)器崩潰，因此訪問(wèn)限制次數(shù)。 19.簽名驗(yàn)證：驗(yàn)證消息確實(shí)來(lái)自微信服務(wù)器（在此項(xiàng)目中：驗(yàn)證參數(shù)確實(shí)來(lái)自項(xiàng)目的Android客戶端）。