此处需要注意的是,很多人解密的时候会报-41003
我们提供的服务有:成都网站设计、成都网站建设、微信公众号开发、网站优化、网站认证、威县ssl等。为数千家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的威县网站制作公司
这是因为传过来的encryptedData的值有问题,
一定要在小程序端使用encodeURIComponent()进行数据编码后再传,
不然+号会变成空格,然后一直解密不成功......
经常看到有点的小伙伴在群里问小程序用户数据解密流程,所以打算写一篇关于小程序用户敏感数据解密教程;
加密过程微信服务器完成,解密过程在小程序和自身服务器完成,即由 encryptData 得到如下数据:
准备知识:
以上3点对于理解解密流程非常重要 。
根据官方文档,我梳理了大致的解密流程,如下:
重点在6、7、8三个环节。
AES解密三个参数:
服务端解密流程:
下面结合小程序实例说明解密流程:
最后的效果如下:
如果你的小程序没有绑定微信开放平台,解密的数据中不包含unionid参数
小程序绑定微信开放平台连接
从解密的数据看,算得上敏感的数据只有appid;个人觉得openid不是敏感数据,每个用户针对每个公众号会产生一个安全的openid;openid只有在appid的作用域下可用。除非你的appid也泄露了。
那么可以从解密数据得到appid,微信小程序团队是何用意呢?还是前面那句话,openid脱离了appid就什么都不是,openid和appid一起为了方便小程序开发者做到不同小程序应用之间用户区分和隔离,同时能够将微信用户体系与第三方业务体系结合。
所以我认为敏感数据解密的主要用处不是解密后回传给客户端,而是在服务端将微信用户信息融入到自身业务当中。
常规的网站破解是通过SQL入注来破解,如果程序员注重了SQL入注那这个方法就很难行得通。二者就是采用暴力猜密码的方法,如果登录设置了验证码难度就会很大。
破解这东西还是需要自己花很多时间和精力去琢磨滴。
这种情况发生在以UTF-8编码格式传输数据的时候,这开头的三个字节叫做BOM(Byte Order Mark,字节顺序标记),小程序接收到php端返回的数据后,把开头的三个字节去掉即可。
更彻底的解决办法是把php文件保存为 不带BOM的UTF-8 文件,这样返回的数据就不带BOM了