概念
由于这种模式多了很多稀奇古怪的概念,首先我们来理一理这个概念。
- 三种token
- 企业接口的token
- 应用授权的token
- 服务商的token
参考文档:https://work.weixin.qq.com/api/doc#11791
- 各种ID
- CorpID:整个企业微信的ID
- SuiteID:服务商新建的每一个应用特有的ID
- Secret:服务商新建的每一个应用特有的Secret
构造登录URL
做过oauth的同学都知道,oauth登录的第一步是引导用户到第三方服务器,然后用户确认授权登录(或者静默授权)之后,跳转回自己的服务器,同时带上code这个参数值。
企业微信服务商构建url的文档地址在:
https://work.weixin.qq.com/api/doc#10975/构造第三方oauth2链接
就是说我们要构建出一个地址:
https://open.weixin.qq.com/connect/oauth2/authorize?appid={appid}&redirect_uri={redirect_uri}&response_type=code&scope={scope}&state=STATE#wechat_redirect
| 参数名 | 含义 |
|---|---|
| appid | 服务商应用ID |
| redirect_uri | urlencode之后的回调地址 |
| scope | 应用授权作用域。 snsapi_base:静默授权,可获取成员的基础信息; snsapi_userinfo:静默授权,可获取成员的详细信息,但不包含手机、邮箱; snsapi_privateinfo:手动授权,可获取成员的详细信息,包含手机、邮箱。 |
注:snsapi_privateinfo的时候,必须在服务商应用那里打开敏感信息授权,并且注意,已经安装测试的应用打开授权必须要先取消再安装。
根据code获取用户的相关信息
其实就是通过get请求获取用户信息,请求的地址是:
https://qyapi.weixin.qq.com/cgi-bin/service/getuserinfo3rd?access_token={SUITE_ACCESS_TOKEN}&code={CODE}
当然,如果是想获取成员信息(之前的scope不是snsapi_base),则还需要用从这个接口获取到的user_ticket再一次请求接口https://qyapi.weixin.qq.com/cgi-bin/service/getuserdetail3rd?access_token={SUITE_ACCESS_TOKEN}
注意:如果用户的企业没有安装这个应用可以拿到openid,已经安装则返回userid
获取SUITE_ACCESS_TOKEN
先上文档:
https://work.weixin.qq.com/api/doc#11791/应用授权的token
这个接口需要三个参数,其中suite_id和suite_secret是应用特有的参数,而suite_ticket是微信服务器通过指令回调URL每10分钟推送过来的数据
处理企业微信指令回调
首先这个URL是应用配置的,然后post过来是xml格式的字符串,当然企业微信提供了各种语言的sdk解密这个xml数据
SDK下载地址:
https://work.weixin.qq.com/api/doc#10128
- 如何通过URL的校验,首先在企业微信的应用管理里面要校验通过URL才能安装应用,然后这个校验就是发送一个GET请求到这个地址,然后我们只需要调用sdk的VerifyURL函数,把运算结果直接返回即可通过校验
下面以python作为例子:
from WXBizMsgCrypt import WXBizMsgCrypt
wxcpt=WXBizMsgCrypt(sToken,sEncodingAESKey,sCorpID)
ret,sEchoStr=wxcpt.VerifyURL(sVerifyMsgSig, sVerifyTimeStamp,sVerifyNonce,sVerifyEchoStr)
输出到浏览器(sEchoStr)
参数含义:
- sToken:应用配置的回调配置的Token
- sEncodingAESKey:应用配置的回调配置的EncodingAESKey
- sCorpID:企业微信的CorpID
- sVerifyMsgSig:GET参数msg_signature
- sVerifyTimeStamp:GET参数timestamp
- sVerifyNonce:GET参数nonce
- sVerifyEchoStr:GET参数echostr
- 如何拿到suite_ticket
因为suite_ticket是10分钟一次post到上面的URL,但是我们接收到的是一段xml,然后我们需要用sdk的DecryptMsg函数解码出真正明文的xml字符串
下面以python代码为例子:
from WXBizMsgCrypt import WXBizMsgCrypt
wxcpt=WXBizMsgCrypt(sToken,sEncodingAESKey,sCorpID)
ret,sMsg=wxcpt.DecryptMsg( sReqData, sReqMsgSig, sReqTimeStamp, sReqNonce)
- sToken:应用配置的回调配置的Token
- sEncodingAESKey:应用配置的回调配置的EncodingAESKey
- sCorpID:企业微信的CorpID
- sRespData: 收到的xml字符串
- sReqNonce:GET参数nonce
- sReqTimeStamp:GET参数timestamp
- sReqMsgSig:GET参数msg_signature
- sMsg:解码后的明文xml
总结
其实服务商模式的企业微信oauth跟普通微信公众号的oauth就只有一点点差别,首先获取的access_token需要一个动态参数值,其中这个参数值是企业微信服务器定时发送到我们的服务器的。
然后我们调用的一些API是有IP限制的,这个需要在服务商后台配置白名单(作用域是整个服务商所有应用)
注意:本文写于2017年12月19日,仅代表当前可用,不保证之后升级策略导致的影响
本文首发于:http://blog.yubangweb.com/qi-ye-wei-xin-fu-wu-shang-mo-shi-oauth/
