token验证的意义

在看了别人的代码之后对token加密有了些理解了。但又觉得很鸡肋。第一次验证服务器的时候我在那弄了半天的验证其实不写也可以验证成功,只要直接返回echostr这个字段就行了。微信的服务器只检查我的服务器返回的值和他想要的值是否一样,来判断是否验证成功,但是验证的过程是我在自己的服务器上做的,我可以不验证,直接返回他想要的值。虽然这样违背安全的目的。

微信这个token验证应该不只是第一次验证服务器时要用,应该是每次接收消息都要验证是不是从微信服务器发送过来的。第一次是get的请求,接收消息是post的请求。但无论是哪种,都会是一get的形式和url来访问。所以哪怕是接收消息,也应该是验证是否是微信服务器所发送来的。

接收和发送消息

通过判断是get还是post来分辨是第一次验证还是接收的消息。如果时post就解析发送过来的信息的xml(这里用到了xmltodict这个包,后续学一下)。

xml消息的结构如下:

<xml>

<ToUserName><![CDATA[gh_866835093fea]]></ToUserName>

<FromUserName><![CDATA[ogdotwSc_MmEEsJs9-ABZ1QL_4r4]]></FromUserName>

<CreateTime>1478317060</CreateTime>

<MsgType><![CDATA[text]]></MsgType>

<Content><![CDATA[你好]]></Content>

<MsgId>6349323426230210995</MsgId>

</xml>

解析post包可以获得用户发送过来的消息,而对post包的返回值就是微信公众号对用户的回复,同样时xml形式。发来的消息有不通的type,可以采取不同的回复形式等等。

以下是学习别人代码后,我写的代码。其中对于用户发送的消息没有进行token的验证,只是学习收发消息,没有写那么严密。

from flask import Flask,request

import hashlib

import xmltodict

import time

app = Flask(__name__)

@app.route('/wx', methods=["GET", "POST"])

def getinput():

    if (request.method == "GET"):

    # 表示是第一次接入微信服务器的验证

        signature=request.args.get('signature')

        timestamp=request.args.get('timestamp')

        nonce=request.args.get('nonce')

        token = "maluguang"

        list = [token, timestamp, nonce]

        list.sort()

        sha1 = hashlib.sha1()

        sha1.update(list[0].encode('utf-8'))

        sha1.update(list[1].encode('utf-8'))

        sha1.update(list[2].encode('utf-8'))

        hashcode = sha1.hexdigest()

        echostr = request.args.get("echostr")

        if hashcode == signature:

            return echostr

        else:

            return ""

    elif request.method == "POST":

        # 表示微信服务器转发消息过来

        xml_str = request.data

        if not xml_str:

            return""

        # 对xml字符串进行解析

        xml_dict = xmltodict.parse(xml_str)

        xml_dict = xml_dict.get("xml")

        # 提取消息类型

        msg_type = xml_dict.get("MsgType")

        if msg_type == "text":

        # 表示发送的是文本消息

        # 构造返回值,经由微信服务器回复给用户的消息内容

            resp_dict = {

                "xml": {

                    "ToUserName": xml_dict.get("FromUserName"),

                    "FromUserName": xml_dict.get("ToUserName"),

                    "CreateTime": int(time.time()),

                    "MsgType": "text",

                    "Content": "you say:" + xml_dict.get("Content")

                }

            }

            # 将字典转换为xml字符串

            resp_xml_str = xmltodict.unparse(resp_dict)

            # 返回消息数据给微信服务器

            return resp_xml_str

        else:

            resp_dict = {

                "xml": {

                    "ToUserName": xml_dict.get("FromUserName"),

                    "FromUserName": xml_dict.get("ToUserName"),

                    "CreateTime": int(time.time()),

                    "MsgType": "text",

                    "Content": "Dear I Love you so much"

                }

            }

            resp_xml_str = xmltodict.unparse(resp_dict)

            # 返回消息数据给微信服务器

            return resp_xml_str

if __name__ == '__main__':

    app.run(port='')

参考文章:

微信公众号开发之接收与发送消息

使用flask搭建微信公众号:接收与回复消息的更多相关文章

  1. 使用flask搭建微信公众号:实现签到功能

    终于到了实战阶段.用微信公众号实现一个简单的签到功能. 前情提要: 微信公众号token验证失败 使用flask搭建微信公众号:完成token的验证 使用flask搭建微信公众号:接收与回复消息 程序 ...

  2. 使用flask搭建微信公众号:完成token的验证

    上一篇文章讨论了官方给的例子验证token失败的解决方法:微信公众号token验证失败 想了一下,还是决定不适用web.py这个框架.因为搜了一下他的中文文档不多,学起来可能会有点麻烦.而且看着他没有 ...

  3. 微信公众号发送客服消息提示errcode":45015,"errmsg":"response out of time limit or subscription is canceled hint:解决办法【已解决】

    微信公众号发送客服消息提示errcode":45015,"errmsg":"response out of time limit or subscription ...

  4. flask开发微信公众号

    1.进入微信公众号首页,进行注册登录 https://mp.weixin.qq.com/ 2.进入个人首页,进行公众号设置 可参照 公众号文档 进行开发 开发前 先阅读 接口权限列表 3.配置服务器 ...

  5. 在新浪SAE上搭建微信公众号的python应用

    微信公众平台的开发者文档https://www.w3cschool.cn/weixinkaifawendang/ python,flask,SAE(新浪云),搭建开发微信公众账号http://www. ...

  6. 使用python django快速搭建微信公众号后台

    前言 使用python语言,django web框架,以及wechatpy,快速完成微信公众号后台服务的简易搭建,做记录于此. wechatpy是一个python的微信公众平台sdk,封装了被动消息和 ...

  7. 微信公众号开发被动回复用户消息,回复内容Content使用了"\n"换行符还是没有换行

    使用语言和框架:本人后端开发使用的Python的DRF(Django REST framework)框架 需求:在微信公众号开发时,需要实现自动回复,即被关注回复.收到消息回复.关键词回复 发现问题: ...

  8. Java微信公众号开发----关键字自动回复消息

    在配置好开发者配置后,本人第一个想要实现的是自动回复消息的功能,说明以下几点: 1. url 仍然不变,还是开发配置里的url 2. 微信采用 xml 格式传输数据 3.微信服务器传给我们的参数主要有 ...

  9. 解决升级PHP7后 微信公众号收不到消息

    服务器配置Linux+Nginx+PHP5.5+mysql index方法配置微信的关注回复.菜单事件.多客服.自动回复等 public function actionIndex() { if (is ...

随机推荐

  1. 阿里云k8s事件监控

    事件监控是Kubernetes中的另一种监控方式,可以弥补资源监控在实时性.准确性和场景上的缺欠.Kubernetes的架构设计是基于状态机的,不同的状态之间进行转换则会生成相应的事件,正常的状态之间 ...

  2. 【Docker学习之三】Docker查找拉取镜像、启动容器、容器使用

    环境 docker-ce-19.03.1-3.el7.x86_64 CentOS 7 一.查找.拉取镜像.启动容器1.查找镜像-docker search默认查找Docker Hub上的镜像,举例:D ...

  3. 【Spring Boot学习之六】Spring Boot整合定时任务&异步调用

    环境 eclipse 4.7 jdk 1.8 Spring Boot 1.5.2一.定时任务1.启动类添加注解@EnableScheduling 用于开启定时任务 package com.wjy; i ...

  4. Ajax跨域请求附带Cookie/Ajax跨域请求附带身份凭证

    一.跨域请求中默认不带cookie等验证凭证 尤其对于post请求. 对于ajax请求,其中post,get都可以正常访问. withCredentials: false, // 允许携带cookie ...

  5. spark 性能优化简要总结

    1.从同一个数据源尽量只创建一个rdd,后续业务逻辑复用该rdd2.如果要对某个rdd进行多次的transformation或action操作,应当持久化该rdd3.从数据源读取到rdd后,要尽早的进 ...

  6. Linux安装kafka2.3.1基于Scala2.12

    一,先从官网下载:http://kafka.apache.org/downloads 二,解压压缩包(虽然后缀是tgz,但和gz解压方式一样):然后mv kafka_2.12-2.3.1 /usr/l ...

  7. JSON学习(三)

    案例: * 校验注册用户名是否存在 在注册页面,填写完用户名且该栏失去焦点时,前端会进行ajax传输该内容与后台数据库进行比对, 若数据库中没有该用户名,则用户栏后显示“用户名可用”,反之,则显示&q ...

  8. 老司机的自信,让 CDN 加速再加速

    CDN 的存在,加快了用户的访问速度,使用户可以在不提升网速下,获得更好的访问体验.购物时,可以更快的显示商品图片:看电影时,可以随意的拖拽浏览.如果把数据资源比作是一件件包裹,那么用户的带宽就像是一 ...

  9. 自己用JQueryUI封装了几个系统常用对话框

    /* * @功能描述:各种系统消息框 * @前置插件:JQueryUI * @开 发 者:魏巍 * @开发日期:2015-04-15 * @version 1.0 */ var SF = {}; SF ...

  10. postgreSQL 备份+还原多张表

    -U表示用户 -h表示主机 -p表示端口号 -t表示表名 -f表示备份后的sql文件的名字 -d表示要恢复数据库名 一.打开cmd 进入postgresql安装路径下的bin文件夹,以我的为例: cd ...