公众号验证

验证:加密(Token, timestamp, nonce)== signature

返回echostr

 

公众号回调加密加密

验证:加密(Token , timestamp, nonce 密文)==signature

然后解密,解密出AppId和明文

 

 

公众号第三方平台

推送Ticket时:

验证:加密(Token, timestamp, nonce)== signature,密文不参与验证

然后解密

 

回调

验证:加密(Token , timestamp, nonce 密文)==msg_signature

然后解密,解密出AppId和明文

这里的AppId是第三方平台的AppId ,而这里有需要用的msg_signature,同时传过来的signature不知道是干什么的

 

企业号第三方平台

推送Ticket和重新授权时

验证的时候密文需要参与:VerifySignature(m_sToken, sTimeStamp, sNonce, sEncryptMsg, sMsgSignature);

AppId是套件的AppId

 

授权企业号回调

加密解密时:密文和明文都需要参与校验

AppId是企业Id即所谓CorpId

 

弄明白这些东东真可以搞死人