微信公眾平台開發（一） 配置接口與驗證URL

一、簡介

微信公眾平台是騰訊公司在微信的基礎上新增的功能模塊，通過這一平台，個人和企業都可以打造一個微信的公眾號，並實現和特定群體的文字、圖片、語音的全方位溝通、互動。

二、通訊機制

三、注冊微信平台公眾帳號

注冊地址：https://mp.weixin.qq.com

四、服務器端配置

4.1 示例代碼設置

微信公眾平台提供了一個php示例代碼：

http://mp.weixin.qq.com/mpres/htmledition/res/wx_sample.zip

配置接口文件

1、流程：先配置驗證服務器URL地址，接收微信的消息接口，先驗證簽名，如果簽名正確，返回echostr,驗證完成后，注釋掉驗證。

2、開發者通過檢驗signature對請求進行校驗（下面有校驗方式）。若確認此次GET請求來自微信服務器，請求原樣返回echostr參數內容，則接入生效，否則接入失敗。

signature結合了開發者填寫的token參數和請求中的timestamp參數、nonce參數。

加密/校驗流程： 1. 將token、timestamp、nonce三個參數進行字典序排序 2. 將三個參數字符串拼接成一個字符串進行sha1加密 3. 開發者獲得加密后的字符串可與signature對比，標識該請求來源於微信

登錄微信公眾平台官網后，在公眾平台官網的開發-基本設置頁面，勾選協議成為開發者，點擊“修改配置”按鈕，填寫服務器地址（URL）、Token和EncodingAESKey，其中URL是開發者用來接收微信消息和事件的接口URL。Token可由開發者可以任意填寫，用作生成簽名（該Token會和接口URL中包含的Token進行比對，從而驗證安全性）。EncodingAESKey由開發者手動填寫或隨機生成，將用作消息體加解密密鑰。

分析代碼

完整代碼如下：

<?php
/** * wechat php test */ //define your token define("TOKEN", "weixin"); $wechatObj = new wechatCallbackapiTest(); $wechatObj->valid(); class wechatCallbackapiTest { public function valid() { $echoStr = $_GET["echostr"]; //valid signature , option if($this->checkSignature()){ echo $echoStr; exit; } } public function responseMsg() { //get post data, May be due to the different environments $postStr = $GLOBALS["HTTP_RAW_POST_DATA"]; //extract post data if (!empty($postStr)){ $postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA); $fromUsername = $postObj->FromUserName; $toUsername = $postObj->ToUserName; $keyword = trim($postObj->Content); $time = time(); $textTpl = "<xml> <ToUserName><![CDATA[%s]]></ToUserName> <FromUserName><![CDATA[%s]]></FromUserName> <CreateTime>%s</CreateTime> <MsgType><![CDATA[%s]]></MsgType> <Content><![CDATA[%s]]></Content> <FuncFlag>0</FuncFlag> </xml>"; if(!empty( $keyword )) { $msgType = "text"; $contentStr = "Welcome to wechat world!"; $resultStr = sprintf($textTpl, $fromUsername, $toUsername, $time, $msgType, $contentStr); echo $resultStr; }else{ echo "Input something..."; } }else { echo ""; exit; } } private function checkSignature() { $signature = $_GET["signature"]; $timestamp = $_GET["timestamp"]; $nonce = $_GET["nonce"]; $token = TOKEN; $tmpArr = array($token, $timestamp, $nonce); sort($tmpArr); $tmpStr = implode( $tmpArr ); $tmpStr = sha1( $tmpStr ); if( $tmpStr == $signature ){ return true; }else{ return false; } } } ?>

整體分析

原始示例代碼大致分為四個部分：

• 定義TOKEN
• 聲明一個類 wechatCallbackapiTest
• 創建類wechatCallbackapiTest 的一個實例對象 $wechatObj
• 調用類的 valid() 方法。

3.2 詳細分析

3.2.1 定義TOKEN

define("TOKEN", "weixin");

define 是用來給常量賦值的函數，這句話的意思是賦予“TOKEN”這個常量值為“weixin”。

TOKEN 是用來進行交互安全認證的，開發者可以隨意定義，要和公眾平台里設置的一樣。

3.2.2 聲明一個類

class wechatCallbackapiTest{

}

聲明一個類 wechatCallbackapiTest，該類中包含有三個方法（函數）。

a. public function valid()

用於申請 成為開發者 時向微信發送驗證信息。

b. public function responseMsg()

處理並回復用戶發送過來的消息，也是用的最多的一個函數，幾乎所有的功能都在這里實現。

responseMsg 函數詳解：

$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
接收微信公眾平台發送過來的用戶消息，該消息數據結構為XML，不是php默認的識別數據類型，因此這里用了$GLOBALS['HTTP_RAW_POST_DATA']來接收，同時賦值給了$postStr

if (!empty($postStr))
判斷$postStr是否為空，如果不為空（接收到了數據），就繼續執行下面的語句;如果為空，則跳轉到與之相對應的else語句。

$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
使用simplexml_load_string() 函數將接收到的XML消息數據載入對象$postObj中。這個嚴謹的寫法后面還得加個判斷是否載入成功的條件語句，不過不寫也沒事。

$fromUsername = $postObj->FromUserName;
將對象$postObj中的發送消息用戶的OPENID賦值給$fromUsername變量

$toUsername = $postObj->ToUserName;
將對象$postObj中的公眾賬號的ID賦值給$toUsername變量

$keyword = trim($postObj->Content);
trim() 函數從字符串的兩端刪除空白字符和其他預定義字符，這里就可以得到用戶輸入的關鍵詞

$time = time();
time() 函數返回當前時間的 Unix 時間戳，即自從 Unix 紀元（格林威治時間 1970 年 1 月 1 日 00:00:00）到當前時間的秒數。

$textTpl = "<xml>
　　　　　　　<ToUserName><![CDATA[%s]]></ToUserName>
　　　　　　　<FromUserName><![CDATA[%s]]></FromUserName>
　　　　　　 <CreateTime>%s</CreateTime>
　　　　　　　<MsgType><![CDATA[%s]]></MsgType>
　　　　　　　<Content><![CDATA[%s]]></Content>
　　　　　　　<FuncFlag>0</FuncFlag>
　　　　　　　</xml>";
存放微信輸出內容的模板

if(!empty( $keyword ))
判斷$keyword是否為空，不為空則繼續執行下面的語句;如果為空，則跳轉到與之相對應的else語句，即 echo "Input something...";

$msgType = "text";
消息類型是文本類型

$contentStr = "Welcome to wechat world!";
回復的消息內容

$resultStr = sprintf($textTpl, $fromUsername, $toUsername, $time, $msgType, $contentStr);
使用sprintf() 函數將格式化的數據寫入到變量中去;
$fromUsername, $toUsername, $time, $msgType, $contentStr 分別順序替換模板里“%s”位置，也即是“$resultStr”這個變量最后實際為：

<xml>
<ToUserName><![CDATA[$toUsername]]></ToUserName>
<FromUserName><![CDATA[$fromUsername]]></FromUserName>
<CreateTime>$time</CreateTime>
<MsgType><![CDATA[$msgType]]></MsgType>
<Content><![CDATA[$contentStr]]></Content>
<FuncFlag>0</FuncFlag>      //位0x0001被標志時，星標剛收到的消息。
</xml>

echo $resultStr;     //把回復的消息輸出

c. private function checkSignature()

開發者通過檢驗signature對請求進行校驗（下面有校驗方式）。若確認此次GET請求來自微信服務器，請求原樣返回echostr參數內容，則接入生效，否則接入失敗。

signature結合了開發者填寫的token參數和請求中的timestamp參數、nonce參數。

加密/校驗流程：
1. 將token、timestamp、nonce三個參數進行字典序排序
2. 將三個參數字符串拼接成一個字符串進行sha1加密
3. 開發者獲得加密后的字符串可與signature對比，標識該請求來源於微信

3.2.3 創建實例對象

$wechatObj = new wechatCallbackapiTest();

3.2.4 調用類方法驗證

$wechatObj->valid();

調用類的valid()方法執行接口驗證，接口設置成功后將其注釋掉。