准备工作
首先,你需要有一个微信公众号,比如 ”SheldonChen写字的地方"。
其次,你需要有一个独立域名的网站,用来和微信服务器交互。
接入公众平台
登录微信公众平台后台后,点“功能”-“高级功能”-“开发模式”,进入开发模式,如果公众平台显示“尚未成为
开发者”,就点击“成为开发者”:
become_developer.png
同意协议后,填写URL和Token:
url_and_token.png
URL是指微信服务器向哪个URL发送消息,假设我们自己的服务器域名是www.example.com,准备用/weixin来接收消息,就填写:
http://www.example.com/weixin
而Token是微信服务器和我们自己的服务器通信时验证身份用的,可以随便填写,但要注意保密。
然后点“提交”,一般来说会报错“URL超时”或者“没有正确返回echostr”,因为我们的后台还没有准备好,所以,第一步是接收微信后台发送的验证消息,微信后台会发送一个GET请求到上面的URL,并附带以下参数:
signature,timestamp,nonce,echostr
我们的服务器在接收到上述参数后,需要验证signature是否正确,验证方法是先对timestamp、nonce和token先排序,再拼接成一个字符串,计算出sha1,并和signature对比。
注意token不是微信服务器发过来的,而是我们自己写死的一个常量,就是在微信后台填写的Token。
如果计算的sha1和微信传过来的signature相等,说明这个请求确实是微信后台发过来的,如果是别人伪造的请求,由于他不知道token,所以,无法计算出正确的signature。
要防止第三方通过监听发动replay攻击,还需要验证timestamp和nonce,这个以后再讨论。
如果signature计算无误,就把微信后台传过来的echostr原封不动地传回去,这样,就可以通过验证,成为开发者。
在确保开发模式打开的情况下,微信后台会把用户消息发到我们的服务器上,也就是URL:http://www.example.com/weixin:
develop_mode.png
微信后台发送消息是一个POST请求,但和普通的POST请求不同的是,首先,URL会带上signature、timestamp、nonce这3个参数:
POST http://www.example.com/weixin?signature=xxx×tamp=123456&nonce=123
然后,HTTP请求的BODY是一个不规范的XML:
1. <xml>
2. <ToUserName><![CDATA[toUser]]></ToUserName>
3. <FromUserName><![CDATA[fromUser]]></FromUserName>
4. <CreateTime>1348831860</CreateTime>
5. <MsgType><![CDATA[text]]></MsgType>
6. <Content><![CDATA[this is a test]]></Content>
7. <MsgId>1234567890123456</MsgId>
8. </xml>
我们自己的服务器只需要处理该XML,然后,向微信返回一个类似如下的XML:
1. <xml>
2. <ToUserName><![CDATA[toUser]]></ToUserName>
3. <FromUserName><![CDATA[fromUser]]></FromUserName>
4. <CreateTime>12345678</CreateTime>
5. <MsgType><![CDATA[text]]></MsgType>
6. <Content><![CDATA[你好]]></Content>
7. </xml>
就可以完成消息的回复。微信后台要求必须在5秒内回复,最多重试3次,否则我们自己的回复消息就到达不了用户的手机了。如果我们自己的服务器无法在5秒内回复,就回复一个空字符串,告诉微信服务器,不用重试了,这个消息处理不了,不给用户回复了。
上面的交互逻辑看起来很简单,但实际上坑有很多。
首先,微信服务器发送的POST请求根本就不符合HTTP规范。原则上POST请求不应该在URL上附带参数,但微信后台偏偏要这么干,这就让很多编程语言的标准框架无法获取到POST参数,因为标准的POST参数是从HTTP BODY中解析的。
所以,从POST获取URL参数就需要用到更底层的代码。