消息校验机制疑惑 #19
Description
微信开发文档上描述:
“每次开发者接收用户消息的时候,微信也都会带上前面三个参数(signature、timestamp、nonce)访问开发者设置的URL,开发者依然通过对签名的效验判断此条消息的真实性。效验方式与首次提交验证申请一致。”
这个不是很好理解。微信后面的消息,都是POST消息。而一开始的验证消息是GET消息。后面的微信发过来的消息中,是怎么带这几个验证参数的?
用现在的SDK,每次通过微信提供的页面调试接口调试,都是返回签名校验失败,修成如下的形式就OK。
if ($this->isValid()) {
if (!$this->validateSignature($token)) {
exit('签名验证失败');
}
// 网址接入验证
exit($_GET['echostr']);
}