用户数据的签名验证和加解密

数据签名校验

为了确保 开放接口 返回用户数据的安全性，微信会对明文数据进行签名。开发者可以根据业务需要对数据包进行签名校验，确保数据的完整性。

1. 签名校验算法涉及用户的session_key，通过 wx.login 登录流程获取用户session_key，并自行维护与应用自身登录态的对应关系。
2. 通过调用接口（如 wx.getuserinfo）获取数据时，接口会同时返回 rawdata、signature，其中 signature = sha1( rawdata + session_key )
3. 开发者将 signature、rawdata 发送到开发者服务器进行校验。服务器利用用户对应的 session_key 使用相同的算法计算出签名 signature2 ，比对 signature 与 signature2 即可校验数据的完整性。

如wx.getuserinfo的数据校验：

接口返回的rawdata：

{
  "nickname": "band",
  "gender": 1,
  "language": "zh_cn",
  "city": "guangzhou",
  "province": "guangdong",
  "country": "cn",
  "avatarurl": "http://wx.qlogo.cn/mmopen/vi_32/1vzvi39nwfq9xm4ltqpfrqj1xlgzxx3w7bqxkarol6503iuswjjn6nigbiaycajatpujxyzysrztuuicqim5ibxq/0"
}

用户的 session-key：

hyvfkgl5f5oqwjzzanzbbg==

所以，用于签名的字符串为：

{"nickname":"band","gender":1,"language":"zh_cn","city":"guangzhou","province":"guangdong","country":"cn","avatarurl":"http://wx.qlogo.cn/mmopen/vi_32/1vzvi39nwfq9xm4ltqpfrqj1xlgzxx3w7bqxkarol6503iuswjjn6nigbiaycajatpujxyzysrztuuicqim5ibxq/0"}hyvfkgl5f5oqwjzzanzbbg==

使用sha1得到的结果为

75e81ceda165f4ffa64f4068af58c64b8f54b88c

加密数据解密算法

接口如果涉及敏感数据（如wx.getuserinfo当中的 openid 和unionid ），接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据，需要对接口返回的加密数据( encrypteddata )进行对称解密。解密算法如下：

1. 对称解密使用的算法为 aes-128-cbc，数据采用pkcs#7填充。
2. 对称解密的目标密文为 base64_decode(encrypteddata),
3. 对称解密秘钥 aeskey = base64_decode(session_key), aeskey 是16字节
4. 对称解密算法初始向量 iv 会在数据接口中返回。

微信官方提供了多种编程语言的示例代码（点击下载）。每种语言类型的接口名字均一致。调用方式可以参照示例。

另外，为了应用能校验数据的有效性，我们会在敏感数据加上数据水印( watermark )

watermark参数说明：

如接口wx.getuserinfo敏感数据当中的watermark：

{
    "openid": "openid",
    "nickname": "nickname",
    "gender": gender,
    "city": "city",
    "province": "province",
    "country": "country",
    "avatarurl": "avatarurl",
    "unionid": "unionid",
    "watermark":
    {
        "appid":"appid",
        "timestamp":timestamp
    }
}

注：此前提供的加密数据（encryptdata）以及对应的加密算法将被弃用，请开发者不要再依赖旧逻辑。