微信access_token設(shè)計原理分析1，access_token是一個加密字符串，其目的是為了接口安全考慮，否則調(diào)用微信服務(wù)器的接口可能非常危險。 2.用戶在公共賬戶中填寫的令牌相當(dāng)于項目中的xiaoming，這是簽名驗證中的一個參數(shù)，用于確保簽名的安全性。 3. EncodingAESKey由開發(fā)人員手動填寫或隨機生成，并將用作郵件正文加密和解密密鑰。 4，簽名：微信加密簽名，簽名結(jié)合開發(fā)人員填寫的令牌參數(shù)和請求中的timece參數(shù)，nonce參數(shù)。 5，時間戳：時間戳。 6，隨機數(shù)：隨機數(shù)。 7，echostr：隨機字符串。 8,微信簽名加密/驗證過程：（1）令牌，時間戳，nonce三個參數(shù)用于字典排序。 （2）將三個參數(shù)字符串組合成一個用于sha1加密的字符串。 （3）開發(fā)人員獲取加密字符串并將其與簽名進行比較，簽名用于標(biāo)識來自微信的請求。 9. OpenID：為了識別用戶，每個用戶將為每個公共號碼生成安全的OpenID，OpenID是用戶。由于加密微信，每個用戶對每個公共號碼都有一個OpenID，開發(fā)人員可以通過OpenID獲取基本用戶信息。 10. UnionID：用于區(qū)分用戶的性取向，因為只要它是同一個移動應(yīng)用程序，網(wǎng)站應(yīng)用程序和公共帳戶下的微信開放平臺帳戶，用戶的UnionID就是。換句話說，同一用戶，UnionID對于同一微信開放平臺帳戶下的不同應(yīng)用程序是相同的。 11，AppID：接口ID號。 12. AppSecret：密碼。 13，access_token：全局賬單的公共號碼（登陸后登錄，證明你已經(jīng)登錄，相當(dāng)于持票看到演唱會，表明你已經(jīng)買了票，會讓你進入）。 14，expires_in：access_token到期時間，因為這是第三方服務(wù)器調(diào)用，所以微信服務(wù)器必須返回第三方服務(wù)器到期時間，這樣第三方服務(wù)器處理得更好。 15，access_token使用注意事項：（1）為了保密，第三方需要access_token來獲取和刷新中央控制服務(wù)器。其他業(yè)務(wù)邏輯服務(wù)器使用的access_tokens都來自中央控制服務(wù)器，不應(yīng)單獨刷新。否則，access_token將被覆蓋，服務(wù)將受到影響。 （2）access_token的當(dāng)前到期日期由expired_in傳送，該當(dāng)前時間在7200秒內(nèi)。中央控制服務(wù)器需要根據(jù)該有效時間刷新新的access_token。在刷新過程中，外部控制服務(wù)器仍然輸出舊的access_token。此時，公共平臺背景將確保新舊access_tokens在短時間內(nèi)可用，從而確保第三方服務(wù)的平穩(wěn)過渡。 （3）3，access_token的有效時間可以在將來調(diào)整，所以中央控制服務(wù)器不僅需要內(nèi)部定時主動刷新，還需要提供一個被動刷新access_token的接口，這樣服務(wù)服務(wù)器才能了解在API調(diào)用已知后access_token已超時?？梢杂|發(fā)access_token的刷新過程。 16，access_token兩小時到期時間設(shè)計原因（網(wǎng)絡(luò)解釋）：access_token到期也是出于安全考慮。 （1）想象一下情況，我授權(quán)了一個應(yīng)用程序，它得到了我的access_token，然后我忘記了我的授權(quán)，所以每次我發(fā)布它都會保存它，或者它會使用我的秘密地不知道帳戶發(fā)送消息。這種情況仍然很糟糕。 （2）如果您只是登錄，則不需要accessstoken，因為已經(jīng)有與您的用戶關(guān)聯(lián)的openid或uid。但是，這是授權(quán)行為，這意味著此第三方應(yīng)用程序可以使用accessstoken來獲取您的數(shù)據(jù)。所以在這里我們需要及時性來確保安全。 17,微信access_token兩小時到期時間設(shè)計原因（自我理解）：微信令牌刷新兩小時因為第三方服務(wù)器訪問微信服務(wù)器，目的是獲取微信服務(wù)器中的數(shù)據(jù)，也稱為第三方登錄，user用戶通過第三方服務(wù)器登錄后，第三方服務(wù)器進入微信平臺獲取數(shù)據(jù)。這需要授權(quán)過程。也就是說，微信服務(wù)器同意第三方服務(wù)器獲取數(shù)據(jù)。為了控制這個授權(quán)過程，它不會因為授權(quán)后已經(jīng)獲得了微信服務(wù)器數(shù)據(jù)的情況，它會在兩小時內(nèi)刷新。 18,微信服務(wù)器接口訪問限制：微信服務(wù)器接口訪問限制數(shù)是為了防止第三方服務(wù)器因程序錯誤而調(diào)用微信服務(wù)器，導(dǎo)致微信服務(wù)器崩潰，因此訪問限制次數(shù)。 19.簽名驗證：驗證消息確實來自微信服務(wù)器（在此項目中：驗證參數(shù)確實來自項目的Android客戶端）。