精华内容
下载资源
问答
  • 为每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。 如:微信公众号开发调用微信接口 二、数据库表设计 App_Name 表示...

    前篇:如何设计开放 Api

    以下链接来源于网络素材:
    需要考虑点摘录一: https://blog.csdn.net/weixin_34414196/article/details/92105613
    需要考虑点摘录二:https://blog.csdn.net/fengdijiang/article/details/93850389
    摘录三(详细):https://blog.csdn.net/l18848956739/article/details/86664142

    一、开放接口设计说明:

    为每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。
    使用 access_token 验证通过才能正常调用开放的 API 接口

    appid             是每个用户唯一的
    app_secret        可以开发着平台更改
    access_token      通过 appid +  app_secret  生成 ,(有效期2小时)
    

    如:微信公众号开发调用微信接口,下面就自己写一个类似于微信开发的api 开放接口平台

    使用流程:同调用第三方平台接口
    1、api 开发平台申请appid ,app_secret ,或自行提供给消费方
    2、消费方通过 appid ,app_secret 获得 access_token ( 有效期2小时)
    3、消费方调用接口携带 accessToken 参数,验证通过可以才访问接口,未提供返回错误信息

    二、数据库表设计 (已下为核心字段,更多自行添加)

    App_Name          表示机构名称
    App_ID            应用id
    App_Secret        应用密钥  (可更改) 
    Is_flag           是否可用 (是否对某个机构开放)
    access_token      上一次access_token
    
    
    CREATE TABLE `m_app` (
      `id` int(11) NOT NULL AUTO_INCREMENT,
      `app_name` varchar(255) DEFAULT NULL,
      `app_id` varchar(255) DEFAULT NULL,
      `app_secret` varchar(255) DEFAULT NULL,
      `is_flag` varchar(255) DEFAULT NULL,
      `access_token` varchar(255) DEFAULT NULL,
      PRIMARY KEY (`id`)
    ) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
    
    

    三、Redis 缓存工具类 (自行配置缓存框架)

    自行项目配置,也可以使用其他缓存框架
    setString 保存
    getString 读取
    delKey 删除

    
    import java.util.concurrent.TimeUnit;
    
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.data.redis.core.StringRedisTemplate;
    import org.springframework.stereotype.Component;
    
    @Component
    public class BaseRedisService {
    
        @Autowired
        private StringRedisTemplate stringRedisTemplate;
    
        /**
         * TODO    添加/更新
         * @param key  键
         * @param data  值
         * @param timeout 时间(秒)
         * @date  2019/12/3 0003 21:26
         * @return void
         */
        public void setString(String key, Object data, Long timeout) {
            if (data instanceof String) {
                String value = (String) data;
                stringRedisTemplate.opsForValue().set(key, value);
            }
            if (timeout != null) {
                //重新设置过期时间,刷新时间
                stringRedisTemplate.expire(key, timeout, TimeUnit.SECONDS);
            }
        }
    
        /**
         * TODO    读取
         * @param key 键
         * @date  2019/12/3 0003 21:27
         * @return java.lang.Object
         */
        public Object getString(String key) {
            return stringRedisTemplate.opsForValue().get(key);
        }
    
        /**
         * TODO    删除
         * @param key 键
         * @date  2019/12/3 0003 21:27
         * @return void
         */
        public void delKey(String key) {
            stringRedisTemplate.delete(key);
        }
    }
    

    四、AppEntity 实体类

    public class AppEntity {
    
    	private long id;
    	private String appId;
    	private String appName;
    	private String appSecret;
    	private String accessToken;
    	private int isFlag;
    }
    

    五、AppMapper ,数据层

    public interface AppMapper {
    
    	@Select("SELECT ID AS ID ,APP_NAME AS appName, app_id as appId, app_secret as appSecret ,is_flag as isFlag , access_token as accessToken from m_app "
    			+ "where app_id=#{appId} and app_secret=#{appSecret}  ")
    	AppEntity findApp(AppEntity appEntity);
    
    	@Select("SELECT ID AS ID ,APP_NAME AS appName, app_id as appId, app_secret as appSecret ,is_flag as isFlag  access_token as accessToken from m_app "
    			+ "where app_id=#{appId} and app_secret=#{appSecret}  ")
    	AppEntity findAppId(@Param("appId") String appId);
    
    	@Update(" update m_app set access_token =#{accessToken} where app_id=#{appId} ")
    	int updateAccessToken(@Param("accessToken") String accessToken, @Param("appId") String appId);
    }
    

    六、 Token生成工具类TokenUtils

    public class TokenUtils {
    
    	@RequestMapping("/getToken")
    	public static String getAccessToken() {
    		return UUID.randomUUID().toString().replace("-", "");
    	}
    }
    

    七、getAccessToken 接口生成 accessToken

    步骤:
    1、调用接口传递 appId+appSecret
    2、 判断是否存在商户信息
    3、 判断商户信息是否有权限
    4、生成AccessToke,根据当前appId 商户更新最新的 accessToke 到数据库
    5、删除Redis 上次生成的AccessToke缓存,保存最新的accessToke到Redis

    
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.web.bind.annotation.RequestMapping;
    import org.springframework.web.bind.annotation.RestController;
    import com.alibaba.fastjson.JSONObject;
    import com.itmayiedu.base.BaseApiService;
    import com.itmayiedu.base.ResponseBase;
    import com.itmayiedu.entity.AppEntity;
    import com.itmayiedu.mapper.AppMapper;
    import com.itmayiedu.utils.BaseRedisService;
    import com.itmayiedu.utils.TokenUtils;
    
    /**
     * TODO  创建获取getAccessToken
     *
     * @date 2019/12/3 0003 21:31
     */
    @RestController
    @RequestMapping(value = "/auth")
    public class AuthController extends BaseApiService {
    
        /**
         * Redis
         */
        @Autowired
        private BaseRedisService baseRedisService;
    
        /**
         * 创建的表appEntity ,的 dao对象
         */
        @Autowired
        private AppMapper appMapper;
    
        /**
         * 过期时间,单位秒
         */
        private long timeToken = 60 * 60 * 2;
    
    
        /**
         * TODO    使用appId+appSecret 生成AccessToke
         * @param appEntity
         * @date  2019/12/3 0003 21:33
         * @return com.itmayiedu.base.ResponseBase
         */
        @RequestMapping("/getAccessToken")
        public ResponseBase getAccessToken(AppEntity appEntity) {
            // 使用appId + appSecret查询
            AppEntity appResult = appMapper.findApp(appEntity);
            // 判断是否存在商户信息,等同与微信开发平台申请的appid,appSecret信息是否正确
            if (appResult == null) {
                return setResultError("没有对应机构的认证信息");
            }
            //判断是否开发权限给该商户
            int isFlag = appResult.getIsFlag();
            if (isFlag == 1) {
                return setResultError("您现在没有权限生成对应的AccessToken");
            }
            // 从redis中删除之前的accessToken
            baseRedisService.delKey(appResult.getAccessToken());
            // 生成的新的accessToken 保存到 Redis,并保存到数据库
            String newAccessToken = newAccessToken(appResult.getAppId());
            //返回 accessToken,setResultSuccessData为封装返回信息,请自定义
            JSONObject jsonObject = new JSONObject();
            jsonObject.put("accessToken", newAccessToken);
            return setResultSuccessData(jsonObject);
        }
    
    
        /**
         * TODO
         * @param appId
         * @date  2019/12/3 0003 21:33
         * @return java.lang.String
         */
        private String newAccessToken(String appId) {
            // 使用 appid+appsecret 生成对应的AccessToken , 保存两个小时
            String accessToken = TokenUtils.getAccessToken();
            // 保证在同一个事物redis 事物中
            // 生成最新的token, key=accessToken ,value=appid
            baseRedisService.setString(accessToken, appId, timeToken);
            // 表数据更新为最新的 accessToken,删除之前的accessToken使用
            appMapper.updateAccessToken(accessToken, appId);
            return accessToken;
        }
    }
    

    八、添加拦截器AccessTokenInterceptor ,判断请求参数 accessToken

    统一拦截所有开放接口的请求,判断accessToken 是否有效

    
    import java.io.IOException;
    import java.io.PrintWriter;
    
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletResponse;
    
    import org.apache.commons.lang.StringUtils;
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Component;
    import org.springframework.web.servlet.HandlerInterceptor;
    import org.springframework.web.servlet.ModelAndView;
    import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
    
    import com.alibaba.fastjson.JSONObject;
    import com.fasterxml.jackson.databind.deser.Deserializers.Base;
    import com.itmayiedu.base.BaseApiService;
    import com.itmayiedu.utils.BaseRedisService;
    
    /**
     * TODO    验证AccessToken 是否正确
     *
     * @date 2019/12/3 0003 21:54
     * @return
     */
    @Component
    public class AccessTokenInterceptor extends BaseApiService implements HandlerInterceptor {
    
        /**
         * redis
         */
        @Autowired
        private BaseRedisService baseRedisService;
    
        /**
         * 进入controller层之前拦截请求
         *
         * @param httpServletRequest
         * @param httpServletResponse
         * @param o
         * @return
         * @throws Exception
         */
        public boolean preHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o)
                throws Exception {
            System.out.println("---------------------开始进入请求地址拦截----------------------------");
            //获取到accessToken
            String accessToken = httpServletRequest.getParameter("accessToken");
            // 判断accessToken是否空
            if (StringUtils.isEmpty(accessToken)) {
                // 返回错误消息
                resultError(" this is parameter accessToken null ", httpServletResponse);
                return false;
            }
            //从redis 中获取获取到accessToken
            String appId = (String) baseRedisService.getString(accessToken);
            if (StringUtils.isEmpty(appId)) {
                // accessToken 已经失效!
                resultError(" this is  accessToken Invalid ", httpServletResponse);
                return false;
            }
            // 正常执行业务逻辑...
            return true;
        }
    
        public void postHandle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o,
                               ModelAndView modelAndView) throws Exception {
            System.out.println("--------------处理请求完成后视图渲染之前的处理操作---------------");
        }
    
        public void afterCompletion(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                    Object o, Exception e) throws Exception {
            System.out.println("---------------视图渲染之后的操作-------------------------0");
        }
    
        /**
         * TODO    返回错误提示
         * @param errorMsg
         * @param httpServletResponse
         * @date  2019/12/3 0003 21:58
         * @return void
         */
        public void resultError(String errorMsg, HttpServletResponse httpServletResponse) throws IOException {
            PrintWriter printWriter = httpServletResponse.getWriter();
            // setResultError为封装的返回信息,请自定义
            printWriter.write(new JSONObject().toJSONString(setResultError(errorMsg)));
        }
    

    九、添加拦截器AccessTokenInterceptor 的拦截范围

    /openApi 下的所有接口

    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
    import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
    
    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
    import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
    
    @Configuration
    public class WebAppConfig {
    	@Autowired
    	private AccessTokenInterceptor accessTokenInterceptor;
    
    	@Bean
    	public WebMvcConfigurer WebMvcConfigurer() {
    		return new WebMvcConfigurer() {
    			public void addInterceptors(InterceptorRegistry registry) {
    			    //  /openApi   下的所有接口
    				registry.addInterceptor(accessTokenInterceptor).addPathPatterns("/openApi/*");
    			};
    		};
    	}
    }
    

    使用流程:同调用第三方平台接口
    1、api 开发平台申请appid ,app_secret ,或自行提供给消费方
    2、消费方通过 appid ,app_secret 获得 access_token ( 有效期2小时)
    3、消费方调用接口携带 accessToken 参数,验证通过可以才访问接口,未提供返回错误信息

    展开全文
  • sub_appid是小程序的APPID时,接口参数中无需使用openid,应使用sub_openid。

    sub_appid是小程序的APPID时,接口参数中无需使用openid,应使用sub_openid。

    展开全文
  • 一、接口地址二、接口几个字段讲解三、报错的原因四、解决方法 一、接口地址 地址在 -> 微信官方文档 -> 微信支付 -> 小程序支付 -> 统一下单 对比 V2-旧版,V3-新版 版本 接口文档地址 接口...

    一、接口地址

    地址在 -> 微信官方文档 -> 微信支付 -> 小程序支付 -> 统一下单

    • 对比 V2-旧版V3-新版
    版本 接口文档地址 接口地址 接口请求方式
    旧版本V2 https://pay.weixin.qq.com/wiki/doc/api/wxa/wxa_api.php?chapter=9_1 https://api.mch.weixin.qq.com/pay/unifiedorder POST
    新版本V3 https://pay.weixin.qq.com/wiki/doc/apiv3/apis/chapter3_5_1.shtml https://api.mch.weixin.qq.com/v3/pay/transactions/jsapi POST

    二、接口几个字段讲解

    • appid:小程序的appid(微信分配的小程序ID ),类似于wxd678efh567hg6787
    • mch_id:商户号(微信支付分配的商户号),类似于 1230000109

    三、报错的原因

    • 你传的openid不是对应这个小程序的appid
    • 你用了A小程序对应的appid商户后台绑定的B小程序appid对应的openid 去请求这个接口,当然报错。

    四、解决方法

    • 字段appidopenid是否为空
    • 商户后台是否已手动绑定该小程序的appid
    展开全文
  • appid、appkey、appsecret AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码) token:令牌(过期失效) app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在数据库添加...

    一、什么是appid、appkey、appsecret

    AppID:应用的唯一标识AppKey:公匙(相当于账号)AppSecret:私匙(相当于密码)

    token:令牌(过期失效)

    1. app_id 是用来标记你的开发者账号的, 是你的用户id, 这个id 在数据库添加检索, 方便快速查找。

    2. app_key 和 app_secret 是一对出现的账号, 同一个 app_id 可以对应多个 app_key+app_secret, 这样 平台就可以分配你不一样的权限, 比如 app_key1 + app_secect1 只有只读权限 但是 app_key2+app_secret2 有读写权限… 这样你就可以把对应的权限 放给不同的开发者. 其中权限的配置都是直接跟app_key 做关联的, app_key 也需要添加数据库检索, 方便快速查找。

    3. 至于为什么 要有app_key + app_secret 这种成对出现的机制呢, 因为 要加密, 通常 在首次验证(类似登录场景) , 你需要用 app_key(标记要申请的权限有哪些) + app_secret(密码, 表示你真的拥有这个权限) 来申请一个token, 就是我们经常用到的 access_token, 之后的数据请求, 就直接提供access_token 就可以验证权限了.

    简化的场景:

    1. 省去 app_id, 他默认每一个用户有且仅有一套权限配置, 所以直接将 app_id = app_key , 然后外加一个app_secret就够了.
    2. 省去app_id 和 app_key, 相当于 app_id = app_key = app_secret, 通常用于开放性接口的地方, 特别是很多地图类api 都采用这种模式, 这种模式下, 带上app_id 的目的仅仅是统计 某一个用户调用接口的次数而已了.

    使用方法

    1. 向第三方服务器请求授权时,带上AppKey和AppSecret(需存在服务器端)

    2. 第三方服务器验证AppKey和AppSecret在DB中有无记录

    3. 如果有,生成一串唯一的字符串(token令牌),返回给服务器,服务器再返回给客户端

    4. 客户端下次请求敏感数据时带上令牌

    二、云服务AppId或AppKey和AppSecret生成策略

    [推荐]云服务AppId或AppKey和AppSecret生成策略
    参考URL: https://www.cnblogs.com/owenma/p/11419341.html

    Java 原生的UUID为36位 or 32位,太长。参考原博文,分析算法:

    关于appid生成:

    首先,它先获取,32个(去掉了-)十六进制字符串。

        String uuid = UUID.randomUUID().toString().replace("-", "");
    

    将其分成8组,每4个字符为一组str,如下16进制字符串转10进制int型

            int x = Integer.parseInt(str, 16);
    

    然后通过模62操作,结果作为索引取出字符,

    		chars[x % 0x3E]
    

    这里x % 0x3E 不好理解,其实Integer.parseInt(“3E”, 16); 结果是62,所以这里x % 0x3E就是x模62(x % 62),根据模的结果在你的定义的62个可见字符数组中取对应索引的字符。

    这样总共8组,一组取一个字符,8组取8个字符,就是你要的appid。

    个人对该算法思考:它其实就是利用uuid的字符串,分成8组,做随机数模62,感觉uuid的作用就是随机数的作用。那么问题就是,uuid分成的8组每组真正都随机么?假如随机,那么我们为什么不直接生成随机数,生成8组,为什么要用uuid呢?还是说都是造随机两个没有什么本质区别,都可以,只是作者使用了uuid来造而已?
    如果有算法爱好者,希望可以解答!

    关于appsecrect,文章中是appid+固定字符串做sha1,感觉这样有安全风险,别人知道appid知道算法,就可以计算出你的appsecrect。如下,个人改成了 sha1(appid + uuid)生成secrect。

    /**
     * 随机产生唯一的app_key和app_secret
     */
    public class AppUtils {
    
        private final static String[] chars = new String[]{"a", "b", "c", "d", "e", "f",
                "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s",
                "t", "u", "v", "w", "x", "y", "z", "0", "1", "2", "3", "4", "5",
                "6", "7", "8", "9", "A", "B", "C", "D", "E", "F", "G", "H", "I",
                "J", "K", "L", "M", "N", "O", "P", "Q", "R", "S", "T", "U", "V",
                "W", "X", "Y", "Z"};
    
        /**
         * @Description: <p>
         * 短8位UUID思想其实借鉴微博短域名的生成方式,但是其重复概率过高,而且每次生成4个,需要随即选取一个。
         * 本算法利用62个可打印字符,通过随机生成32位UUID,由于UUID都为十六进制,
         * 所以将UUID分成8组,每4个为一组,然后通过模62操作,结果作为索引取出字符,
         * 这样重复率大大降低。
         * 经测试,在生成一千万个数据也没有出现重复,完全满足大部分需求。
         * </p>
         */
        public static String getAppId() {
            StringBuffer shortBuffer = new StringBuffer();
            String uuid = UUID.randomUUID().toString().replace("-", "");
            for (int i = 0; i < 8; i++) {
                String str = uuid.substring(i * 4, i * 4 + 4);
                int x = Integer.parseInt(str, 16);
                shortBuffer.append(chars[x % 0x3E]);
            }
            return shortBuffer.toString();
    
        }
    
        /**
         *  算法: sha1(appid+uuid) 生成AppSecret
         */
        public static String getAppSecret(String appId) {
            try {
                StringBuffer sb = new StringBuffer();
                String uuid = UUID.randomUUID().toString();
    
                sb.append(appId).append(uuid);
    
                String str = sb.toString();
                MessageDigest md = MessageDigest.getInstance("SHA-1");
                md.update(str.getBytes());
                byte[] digest = md.digest();
    
                StringBuffer hexstr = new StringBuffer();
                String shaHex = "";
                for (int i = 0; i < digest.length; i++) {
                    shaHex = Integer.toHexString(digest[i] & 0xFF);
                    if (shaHex.length() < 2) {
                        hexstr.append(0);
                    }
                    hexstr.append(shaHex);
                }
                return hexstr.toString();
            }  catch (NoSuchAlgorithmException e) {
                e.printStackTrace();
            }
            return appId;
        }
    
        public static void main(String[] args) {
            String appId = getAppId();
            String appSecret = getAppSecret(appId);
            System.out.println("appId: "+appId);
            System.out.println("appSecret: "+appSecret);
        }
    }
    

    三、API接口开发安全性

    [推荐]API接口安全性设计
    参考URL: https://www.jianshu.com/p/c6518a8f4040

    接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:

    1. Token授权机制
      用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。

    2. 时间戳超时机制
      用户每次请求都带上当前时间的时间戳timestamp,服务端接收到timestamp后跟当前时间进行比对,如果时间差大于一定时间(比如5分钟),则认为该请求失效。时间戳超时机制是防御DOS攻击的有效手段。

    3. 签名机制
      将 Token 和 时间戳 加上其他请求参数再用MD5或SHA-1算法(可根据情况加点盐)加密,加密后的数据就是本次请求的签名sign,服务端接收到请求后以同样的算法得到签名,并跟当前的签名进行比对,如果不一样,说明参数被更改过,直接返回错误标识。签名机制保证了数据不会被篡改。

    4. 拒绝重复调用(非必须)
      客户端第一次访问时,将签名sign存放到缓存服务器中,超时时间设定为跟时间戳的超时时间一致,二者时间一致可以保证无论在timestamp限定时间内还是外 URL都只能访问一次。如果有人使用同一个URL再次访问,如果发现缓存服务器中已经存在了本次签名,则拒绝服务。如果在缓存中的签名失效的情况下,有人使用同一个URL再次访问,则会被时间戳超时机制拦截。这就是为什么要求时间戳的超时时间要设定为跟时间戳的超时时间一致。拒绝重复调用机制确保URL被别人截获了也无法使用(如抓取数据)。

    在以上三中机制的保护下,

    如果有人劫持了请求,并对请求中的参数进行了修改,签名就无法通过;

    如果有人使用已经劫持的URL进行DOS攻击,服务器则会因为缓存服务器中已经存在签名或时间戳超时而拒绝服务,所以DOS攻击也是不可能的;

    所有的安全措施都用上的话有时候难免太过复杂,在实际项目中需要根据自身情况作出裁剪,比如可以只使用签名机制就可以保证信息不会被篡改,或者定向提供服务的时候只用Token机制就可以了。如何裁剪,全看项目实际情况和对接口安全性的要求~

    四、基于AccessToken方式实现API设计

    基于AccessToken方式实现API设计
    参考URL: https://www.cnblogs.com/kevin-ying/p/10800934.html
    Spring Boot入门教程(四十三): API接口设计之token、timestamp、sign
    参考URL: https://blog.csdn.net/vbirdbest/article/details/80789817

    需求:

    A、B机构需要调用X服务器的接口,那么X服务器就需要提供开放的外网访问接口。

    分析:

    1、开放平台提供者X,为每一个合作机构提供对应的appid、app_secret。

    2、appid是唯一的(不能改变),表示对应的第三方合作机构,用来区分不同机构的。

    3、app_secret在传输中实现加密功能(秘钥),该秘钥可以发生改变的。

    4、为什么app_secret是可以改变的?调用接口需要appid+app_secret生成对应的access_token(临时性),如果appid和app_secret被泄密,产生安全性问题,如果一但发现被泄密,可以重新生成一个app_secret。

    原理:为每个合作机构创建对应的appid、app_secret,生成对应的access_token(有效期2小时),在调用外网开放接口的时候,必须传递有效的access_token。

    二、开发步骤

    1、使用appid+app_secret生成对应的access_token

    1.获取生成的AppId和appSecret,并验证是否可用
    2.删除之前的accessToken
    3.AppId和appSecret保证生成对应唯一的accessToken
    注意:以上第二步必须保证在同一事务中
    4.返回最新的accessToken

    2、使用accessToken调用第三方接口

    1.获取对应的accessToken
    2.使用AccessToken查询redis对应的value(appId)
    3.如果没有获取到对应的appid,直接返回错误提示

    4.如果能获取到对应的appid,使用appid查询对应的APP信息
    5.使用appId查询数据库app信息,获取is_flag状态,如果为1,则不能调用接口,否则正常执行
    6.直接调用接口业务

    五、常见问题总结

    做API接口,为什么access_token要放在Header头里传递?

    如果是OAuth2, 使用 Header传递token是属于规范的一种,Header中有一个Authorization头专门用于存放认证信息
    每一次登录,会生成一个新的Token, 此时旧的token并不会立即失效(取决于该token生成时,设置的失效时间)

    六、参考

    API接口开发安全性,你是如何解决的
    参考URL: https://www.sohu.com/a/281386848_652662
    [推荐]API接口安全性设计
    参考URL: https://www.jianshu.com/p/c6518a8f4040
    WebApi安全性 使用TOKEN+签名验证
    参考URL: https://www.cnblogs.com/MR-YY/p/5972380.html
    云服务AppId或AppKey和AppSecret生成策略
    参考URL: https://www.cnblogs.com/owenma/p/11419341.html
    认识和使用JWT
    参考URL: https://blog.csdn.net/qq_40493277/article/details/99626681

    展开全文
  • 一、web接口测试和app/微信小程序接口测试的区别 web接口一般是通过浏览器访问,app接口是通过手机端访问的,所以他们header头部请求是不一样的,一样的就是User Agent这个参数。 web请求的header请求中的User Agent...
  • 当我们使用短信接口开发, 跟腾讯云的短信平台通信时, 腾讯云会验证开发者的身份。...获取短信接口开发的appkey和SDKAPPID视频教程在线观看 http://edu.csdn.net/course/detail/3426/58727
  • 因为appID数量收到限制,我们需要自己申请一个appID,过程如下:  step1:   打开 https://datamarket.azure.com/dataset/bing/microsofttranslator  点击活动订阅下面的购买  step2...
  • 微信接口出现“调用支付jsapi缺少参数appid” 注意:@Html.Raw(ViewBag.wxJsApiParam),//json串ViewBag.wxJsApiParam是一个在后台拼的一个json串。官方的例子有拼,拿过来用就行了。切记不要被转义了,也不要加引号...
  • 一、web接口测试和app/微信小程序接口测试的区别 web接口一般是通过浏览器访问,app接口是通过手机端访问的,所以他们header头部请求是不一样的,一样的就是User Agent这个参数。 web请求的header请求中的User Agent...
  • 接口测试工具Postman接口测试图文教程

    万次阅读 多人点赞 2018-07-11 13:10:03
    市场上有很多优秀的,完善的接口测试工具,比如SoapUI,Postman等,能够高效的帮助后端开发人员独立进行接口测试。这里使用Postman接口测试工具,此处以请求方式为POST的userLogin登录接口为例。
  • App key简称API接口验证序号,是用于验证API接入合法性的。接入哪个网站的API接口,就需要这个网站允许才能够接入,如果简单比喻的话:可以理解成是登陆网站的用户名。App Secret简称API接口密钥,是跟App Key配套...
  • 使用场景,在接口开发过程中,我们通常不能暴露一个接口给第三方随便调用,要对第三方发来参数进行校验,看是不是具有访问权限,在微信支付接口中也是这个道理,我们要开通微信支付,微信会提供给我们appid(公众...
  • 2 省去app_id 和 app_key, 相当于 app_id = app_key = app_secret, 通常用于开放性接口的地方, 特别是很多地图类api 都采用这种模式, 这种模式下, 带上app_id 的目的仅仅是统计 某一个用户调用接口的次数而已了....
  • 解决方案为:直接将参数拼在url里问题现象:调用wx.login成功后拿到code,去请求换取session_key接口时,如果直接将数据写入data里,就会提示 41002 appid missing,如下:而直接将参数写到url中后,则可以
  • 1、访问本地配置的接口设置-项目设置-不校验合法域名、web-view(业务域名)、TLS 版本以及 HTTPS 证书2、访问豆瓣403https//douban.com/v2/movie/top250改为http://t.yushu.im/v2/movie/top250...
  • 微信小程序开发测试appId改为真正的appid 点击 详情——> APPID修改 改成正式appid 就可以了
  • 微信小程序的APPID问题

    万次阅读 2018-01-29 23:29:20
    今天重新开始做微信小程序,因为之前研究的时候,我没有用APPID登录,直接测试开发的。目前还没看出来有什么影响。但是对于正式的微信小程序,APPID还是需要的。 二、步骤 1、寻找APPID 我们申请小程序之后,...
  • 微信APP支付的appid

    千次阅读 2019-08-19 17:56:08
    今天调用APP支付接口,微信一直返回appid与mch_id不一致,然后我就一直比较疑惑,APP支付的appid在哪里可以找到?一直疑惑了好久,因为官网写的比较含糊,最后终于让我找到了,其实APP支付的appid就是公众号的appid. 登录...
  • 支付宝内部功能调用APPid列表

    千次阅读 2019-12-22 19:21:48
    alipays://platformapi/...appId=20000032 alipays://platformapi/startapp?appId=09999988 alipays://platformapi/startapp?appId=09999988&&actionType=toAccount&&goBack=YES alipays://pl...
  • openid与商户appid不匹配

    千次阅读 2020-09-03 09:57:48
    现在开通了微信支付,商户号绑定了公众号的appid,所以在调用微信提现接口的时候,微信返回了如下报文: <xml> <return_code><![CDATA[SUCCESS]]></return_code> <retur
  • 关于支付宝支付 appid绑定问题

    千次阅读 2020-09-15 14:48:09
    如果是上面这样,我接口生成串没问题,但是app调不起来,会报错6001 这个我就只能求救客服了,通过一早上的沟通,终于明白了需要appid的绑定,绑定地址是:...
  • 商户号与商户appid不匹配

    千次阅读 2020-09-03 11:13:11
    我们是通过接口调用方式,在调试过程中遇到了 “商户号与商户appid不匹配”问题,微信返回的报文如下: <xml> <return_code><![CDATA[SUCCESS]]></return_code> <return_msg><!...
  • 微信企业号开发:getlocation:invalid appid

    万次阅读 2017-10-23 09:34:55
    通过微信的接口开发打卡考勤很长时间了,最近遇到一个很奇怪的问题,getlocation:invalid appid? wx.config({ beta: true,// 必须这么写,否则在微信插件有些jsapi会有问题 debug: false, // 开启调试模式,调用的...
  • 无效的appid排查方案

    万次阅读 2018-03-22 11:22:13
    报错信息一般如下:{"code":"40002","msg":"...无效的AppID参数"}1.首先检查支付宝网关 沙箱环境网关为: https://openapi.alipaydev.com/gateway.do 
  • 微信注册AppID失败

    万次阅读 2015-04-01 15:54:43
    官方提供的注册代码://从官网申请的合法AppID private static final String APP_ID = "";...//IWXAPI 是第三方app与微信通信的openapi接口 private IWXAPI api;private void regToWx() { //通过
  • 微信公众号获取AppID和AppSecret

    千次阅读 2019-01-14 11:05:14
    AppID:开发者ID是公众号开发识别码,配合开发者密码可调用公众号的接口能力。 AppSecret:开发者密码是校验公众号开发者身份的密码,具有极高的安全性。切记勿把密码直接交给第三方开发者或直接存储在代码中。如需...
  • 微信小程序获取appId

    千次阅读 2020-07-08 22:20:59
    wx.getAccountInfoSync() 调用这个方法后就会获取到appId

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 50,821
精华内容 20,328
关键字:

appid接口