附录

附录1-JS-SDK使用权限签名算法

jsapi_ticket

生成签名之前必须先了解一下jsapi_ticket,jsapi_ticket是公众号用于调用微信JS接口的临时票据。正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取。由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,开发者必须在自己的服务全局缓存jsapi_ticket 。

  1. 参考以下文档获取access_token(有效期7200秒,开发者必须在自己的服务全局缓存access_token):../15/54ce45d8d30b6bf6758f68d2e95bc627.html
  2. 用第一步拿到的access_token 采用http GET方式请求获得jsapi_ticket(有效期7200秒,开发者必须在自己的服务全局缓存jsapi_ticket):https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=ACCESS_TOKEN&type=jsapi

成功返回如下JSON:

{
"errcode":0,
"errmsg":"ok",
"ticket":"bxLdikRXVbTPdHSM05e5u5sUoXNKd8-41ZO3MhKoyN5OfkWITDGgnr2fwJ0m9E8NYzWKVZvdVtaUgWvsdshFKA",
"expires_in":7200
}

获得jsapi_ticket之后,就可以生成JS-SDK权限验证的签名了。

签名算法

签名生成规则如下:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的URL,不包含#及其后面部分) 。对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1。这里需要注意的是所有参数名均为小写字符。对string1作sha1加密,字段名和字段值都采用原始值,不进行URL 转义。

即signature=sha1(string1)。 示例:

  • noncestr=Wm3WZYTPz0wzccnW
  • jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg
  • timestamp=1414587457
  • url=http://mp.weixin.qq.com
步骤1. 对所有待签名参数按照字段名的ASCII 码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1:
jsapi_ticket=sM4AOVdWfPE4DxkXGEs8VMCPGGVi4C3VM0P37wVUCFvkVAy_90u5h9nbSlYy3-Sl-HhTdfl2fzFy1AOcHKP7qg&noncestr=Wm3WZYTPz0wzccnW&timestamp=1414587457&url=http://mp.weixin.qq.com
步骤2. 对string1进行sha1签名,得到signature:
f4d90daf4b3bca3078ab155816175ba34c443a7b

注意事项

签名用的noncestr和timestamp必须与wx.config中的nonceStr和timestamp相同。 签名用的url必须是调用JS接口页面的完整URL。 出于安全考虑,开发者必须在服务器端实现签名的逻辑。

附录2-所有JS接口列表

版本1.0.0接口

  • onMenuShareTimeline
  • onMenuShareAppMessage
  • onMenuShareQQ
  • onMenuShareWeibo
  • startRecord
  • stopRecord
  • onVoiceRecordEnd
  • playVoice
  • pauseVoice
  • stopVoice
  • onVoicePlayEnd
  • uploadVoice
  • downloadVoice
  • chooseImage
  • previewImage
  • uploadImage
  • downloadImage
  • translateVoice
  • getNetworkType
  • openLocation
  • getLocation
  • hideOptionMenu
  • showOptionMenu
  • hideMenuItems
  • showMenuItems
  • hideAllNonBaseMenuItem
  • showAllNonBaseMenuItem
  • closeWindow
  • scanQRCode
  • chooseWXPay
  • openProductSpecificView
  • addCard
  • chooseCard
  • openCard

附录3-所有菜单项列表

基本类

  • 举报: "menuItem:exposeArticle"
  • 调整字体: "menuItem:setFont"
  • 日间模式: "menuItem:dayMode"
  • 夜间模式: "menuItem:nightMode"
  • 刷新: "menuItem:refresh"
  • 查看公众号(已添加): "menuItem:profile"
  • 查看公众号(未添加): "menuItem:addContact"

传播类

  • 发送给朋友: "menuItem:share:appMessage"
  • 分享到朋友圈: "menuItem:share:timeline"
  • 分享到QQ: "menuItem:share:qq"
  • 分享到Weibo: "menuItem:share:weiboApp"
  • 收藏: "menuItem:favorite"
  • 分享到FB: "menuItem:share:facebook"

保护类

  • 调试: "menuItem:jsDebug"
  • 编辑标签: "menuItem:editTag"
  • 删除: "menuItem:delete"
  • 复制链接: "menuItem:copyUrl"
  • 原网页: "menuItem:originPage"
  • 阅读模式: "menuItem:readMode"
  • 在QQ浏览器中打开: "menuItem:openWithQQBrowser"
  • 在Safari中打开: "menuItem:openWithSafari"
  • 邮件: "menuItem:share:email"
  • 一些特殊公众号: "menuItem:share:brand"

附录4-位置签名生成算法

addrSign的生成规则与JS-SDK权限验证的签名生成规则相同(参考附录1),只是参与签名参数有所不同。参与addrSign的签名参数有:appId、url(当前网页url)、timestamp、noncestr、accesstoken(用户授权凭证,请参照oauth2.0 协议获取)。

附录5-支付扩展字段及签名生成算法

订单详情(package)扩展字符串定义

在商户调起JS API 时,商户需要此时确定该笔订单详情,并将该订单详情通过一定的方式进行组合放入package。JS API 调用后,微信将通过package 的内容生成预支付单。下 面将定义package 的所需字段列表以及签名方法。 接口需要注意:所有传入参数都是字符串类型!

package 所需字段列表:

参数 名称 是否必填 格式 说明
bank_type 银行通道类型 字符串类型,固定为"WX",注意大写 固定为"WX";
body 商品描述 字符串类型,128字节以下 商品描述;
attach 附加数据 字符串类型,128字节以下 附加数据,原样返回;
partner 商户号 字符串类型 字符串类型注册时分配的财付通商户号partnerId;
out_trade_no 商户订单号 字符串类型,32字节以下 商户系统内部的订单号,32 个字符内、可包含字母;确保在商户系统唯一
total_fee 订单总金额 字符串类型 订单总金额,单位为分;
fee_type 支付币种 字符串类型,默认值是"1" 取值:1(人民币),暂只支持1;
notify_url 通知URL 字符串类型,255字节以下 在支付完成后,接收微信通知支付结果的URL,需给绝对路径, 255 字符内,格式如:http://wap.tenpay.com/tenpay.asp;
spbill_create_ip 订单生成的机器IP 字符串类型,15字节以下 指用户浏览器端IP,不是商户服务器IP,格式为IPV4;
time_start 交易起始时间 字符串类型,14字节以下 订单生成时间,格式为yyyyMMddHHmmss,如2009 年12 月25 日9 点10 分10 秒表示为20091225091010,时区为GMT+8 beijing;该时间取自商户服务器;
time_expire 交易结束时间 字符串类型,14字节以下 订单失效时间,格式为yyyyMMddHHmmss,如2009 年12 月27 日9 点10 分10 秒表示为20091227091010,时区为GMT+8 beijing;该时间取自商户服务器;
transport_fee 物流费用 字符串类型 物流费用,单位为分。如果有值,必须保证 transport_fee + product_fee=total_fee;
product_fee 商品费用 字符串类型 物流费用,单位为分。如果有值,必须保证 transport_fee + product_fee=total_fee;
goods_tag 商品标记 字符串类型 商品标记,优惠券时可能用到;
input_charset 传入参数字符编码 字符串类型 取值范围:"GBK"、"UTF-8",默认:"GBK"

package 生成方法: 由于package中携带了生成订单的详细信息,因此在微信将对package里面的内容进行鉴 权,确定package携带的信息是真实、有效、合理的。因此,这里将定义生成package字符 串的方法。

  1. 对所有传入参数按照字段名的ASCII码从小到大排序(字典序)后,使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1,注意:值为空的参数不参与签名;
  2. 在string1最后拼接上key=paternerKey得到stringSignTemp字符串,并对stringSignTemp进行md5运算,再将得到的字符串所有字符转换为大写,得到sign值signValue。
  3. 对传入参数中所有键值对的value进行urlencode转码后重新拼接成字符串string2。对于JS前端程序,一定要使用函数encodeURIComponent进行urlencode编码(注意!进行urlencode时要将空格转化为%20而不是+)。
  4. 将sign=signValue拼接到string2后面得到最终的package字符串。

下面定义了一段生成package字符串的示范过程: 假设以下为package传入参数:

  • bank_type=WX
  • body=支付测试
  • fee_type=1
  • input_charset=UTF-8
  • notify_url=http://weixin.qq.com
  • out_trade_no=7240b65810859cbf2a8d9f76a638c0a3
  • partner=1900000109
  • spbill_create_ip=196.168.1.1
  • total_fee=1

i: 经过a过程URL键值对字典序排序后的字符串string1为:

bank_type=WX&body=支付测试&fee_type=1&input_charset=UTF-8&notify_url=http://we
ixin.qq.com&out_trade_no=7240b65810859cbf2a8d9f76a638c0a3&partner=1900000109&spbill_
create_ip=196.168.1.1&total_fee=1

ii:经过b过程后得到sign为:

sign
=md5(string1&key=8934e7d15453e97507ef794cf7b0519d).toUpperCase
=md5(bank_type=WX&body=支付测试&fee_type=1&input_charset=UTF-8&notify_url=htt
p://weixin.qq.com&out_trade_no=7240b65810859cbf2a8d9f76a638c0a3&partner=1900000109&
spbill_create_ip=196.168.1.1&total_fee=1&key=8934e7d15453e97507ef794cf7b0519d).toUpper
Case()
="7f77b507b755b3262884291517e380f8".toUpperCase()
="7F77B507B755B3262884291517E380F8"

iii:再对传入参数中的每一个键值对中的value进行urlencode编码后得到:

bank_type=WX&body=%E6%94%AF%E4%BB%98%E6%B5%8B%E8%AF%95&fee_typ
e=1&input_charset=UTF-8&notify_url=http%3A%2F%2Fweixin.qq.com&out_trade_no=7240b6
5810859cbf2a8d9f76a638c0a3&partner=1900000109&spbill_create_ip=196.168.1.1&total_fee=1

iv:拼接上sign后得到最终package结果:

bank_type=WX&body=%E6%94%AF%E4%BB%98%E6%B5%8B%E8%AF%95&fee_typ
e=1&input_charset=UTF-8&notify_url=http%3A%2F%2Fweixin.qq.com&out_trade_no=7240b6
5810859cbf2a8d9f76a638c0a3&partner=1900000109&spbill_create_ip=196.168.1.1&total_fee=1
&sign=7F77B507B755B3262884291517E380F8
支付签名(paySign)生成方法

paySign字段是对本次发起JSAPI的行为进行鉴权,只有通过了paySign鉴权,才能继 续对package鉴权并生成预支付单。paySign的生成规则与JS-SDK权限验证的签名生成规则相同(参考附录1)。

参与paySign签名的字段包括:appid、timestamp、noncestr、package以及appkey(即 paySignkey)。

附录6-卡券扩展字段及签名生成算法

卡券扩展字段cardExt说明

cardExt本身是一个JSON字符串,是商户为该张卡券分配的唯一性信息,包含以下字段:

字段 是否必填 说明
code 指定的卡券code码,只能被领一次。use_custom_code字段为true的卡券必须填写,非自定义code不必填写。
openid 指定领取者的openid,只有该用户能领取。bind_openid字段为true的卡券必须填写,非自定义openid不必填写。
timestamp 时间戳,商户生成从1970年1月1日00:00:00至今的秒数,即当前的时间,且最终需要转换为字符串形式;由商户生成后传入。
signature 签名,商户将接口列表中的参数按照指定方式进行签名,签名方式使用SHA1,具体签名方案参见下文;由商户按照规范签名后传入。
balance 红包余额,以分为单位。红包类型必填(LUCKY_MONEY),其他卡券类型不填。
签名说明
  1. 将appsecret(第三方用户唯一凭证密)、timestamp、card_id、code、openid、balance的value值进行字符串的字典序排序。
  2. 将所有参数字符串拼接成一个字符串进行sha1加密,得到signature。
  3. signature中的timestamp和card_ext中的timestamp必须保持一致。
  4. 假如数据示例中code=23456,timestamp=141231233,card_id=345667,appsecret=45678则signature=sha1(14123123323456345667456789)=4F76593A4245644FAE4E1BC940F6422A0C3EC03E。

卡券签名cardSign说明

  1. 将appsecret、app_id、location_id、times_tamp、nonce_str、card_id、card_type的value值进行字符串的字典序排序。
  2. 将所有参数字符串拼接成一个字符串进行sha1加密,得到cardSign。

附录7-常见错误及解决方法

调用config 接口的时候传入参数 debug: true 可以开启debug模式,页面会alert出错误信息。以下为常见错误及解决方法:

  1. invalid url domain当前页面所在域名与使用的appid没有绑定(一个appid可以绑定三个有效域名)。
  2. invalid signature签名错误。建议按如下顺序检查:
    1. 确认签名算法正确,可用 http://mp.weixin.qq.com/debug/cgi-bin/sandbox?t=jsapisign 页面工具进行校验。
    2. 确认config中noncestr, timestamp与用以签名中的对应noncestr, timestamp一致。
    3. 确认url是页面完整的url,包括GET参数部分。
    4. 确认 config 中的 appid 与用来获取 jsapi_ticket 的 appid 一致。
  3. the permission value is offline verifying这个错误是因为config没有正确执行,或者是调用的JSAPI没有传入config的jsApiList参数中。建议按如下顺序检查:
    1. 确认config正确通过。
    2. 如果是在页面加载好时就调用了JSAPI,则必须写在wx.ready的回调中。
    3. 确认config的jsApiList参数包含了这个JSAPI。
  4. permission denied该应用没有权限使用这个JSAPI。

附录8-DEMO页面和示例代码

DEMO页面:

http://demo.open.weixin.qq.com/jssdk

Jssdk demo001.png

示例代码:

http://demo.open.weixin.qq.com/jssdk/sample.zip

备注:链接中包含phpjavanodejs以及python的示例代码供第三方参考,第三方切记要对获取的accesstoken以及jsapi_ticket进行缓存以确保不会触发频率限制。

附录9-问题反馈

邮箱地址:[email protected]

邮件主题:【微信JS-SDK反馈】

邮件内容说明:

用简明的语言描述问题所在,并交代清楚遇到该问题的场景,可附上截屏图片,微信团队会尽快处理你的反馈。