我突然想问问微信 openId 的合法性验证问题。。

2015-02-05 14:03:22 +08:00
 alex321
RT,我们遇到一个不能通过程序直接处理的问题,想请教一下微信生成的 openId 合法性如何验证。
现在看到的是一堆疑似 base64 过的字符串,我想问的是这串字符串是否有长度、组合方面的验证规则,或者说,经过认证的公众号可否通过相关的 api 查询关注的或者否非关注的公众号。
网页授权上是可以通过网页授权的 access_token 和 openId 来验证,然而这块是需要用户进行授权处理的。
很是纠结。
15596 次点击
所在节点    问与答
13 条回复
iyaozhen
2015-02-05 14:12:12 +08:00
没看懂什么意思
“经过认证的公众号可否通过相关的 api 查询关注的或者否非关注的公众号。” ???
lbp0200
2015-02-05 14:14:31 +08:00
拿着openid去获取用户基本信息,没有错误的话就是关注的,否则是没关注的
alex321
2015-02-05 14:18:26 +08:00
@iyaozhen 我表述有误,应该是关注的或者非关注的当前公众号的用户。
@lbp0200 感谢。我现在要判断的不是关注和不关注状态,而是当前用户是否是对应公众号的合法用户。。
iyaozhen
2015-02-05 19:56:31 +08:00
@alex321 如果你是要为是粉丝的用户提供一些服务的话,那就把openId存表呗。
hiro0729
2015-02-05 20:27:37 +08:00
当微信用户关注你时,微信服务器会推送个关注消息给你,此时消息中带的openid肯定是合法的,把这个保存到数据库中。

然后如果要判断的话,就把要判断的openid到数据库查一下,存在记录就是合法的关注用户啦。
alex321
2015-02-05 20:32:50 +08:00
@hiro0729
@iyaozhen
会存在这么样的情况,公众号的粉丝 a 在朋友圈中分享了超链接内容,a 的好友不是公众号的粉丝 b 通过超链接点击进来了,这个时候除非超链接是包含网页授权的动态页面,否则是无法获取到当前的用户 openId 的。我的主要问题是如何判断此时的用户 openId,这块的问题我已经解决了。
hiro0729
2015-02-05 21:00:32 +08:00
@alex321
这个需求只能通过js接口在分享的时候把当前url转换成网页授权的url再分享出去。
原链接直接跳转是肯定获取不到他人的openid的。
hiro0729
2015-02-05 21:06:00 +08:00
补充一下:
snsapi_base为scope的网页授权,为静默授权,用户无感知。

这样就不需要用户进行手动授权,用户感官上是直接跳转。所有用静默授权最容易实现。
alex321
2015-02-05 22:46:36 +08:00
@hiro0729 是的,我们已经通过微信的网页授权动态页面和 js sdk 联合解决了此问题。
dingyaguang117
2015-02-06 10:51:30 +08:00
所有的openid 都是微信服务器告诉你的(不存在假的问题), 你再存到数据库,以后每次用户那边传来你去库里查询一下不就完了
dingyaguang117
2015-02-06 10:52:44 +08:00
@alex321 为啥还需要jssdk呢 如@hiro0729 说的直接snsapi_base就能拿到openid了
alex321
2015-02-06 13:26:37 +08:00
@dingyaguang117 这一次的应用场景不同嘛。
关于网页授权获取 openId 的问题,我的程序在 2013 年底已经实现了,这块的问题我也没必要在这里提问的啦。
kslr
2015-10-08 22:43:21 +08:00
我加密了 OpenID 每次都解密一下,如果解密失败就表示被篡改了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/168485

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX