本文包含了企業(yè)號(hào)回調(diào)企業(yè)時(shí)加解密的詳細(xì)方案、庫和示例代碼的下載，以及企業(yè)號(hào)api接口返回的錯(cuò)誤碼。

一、關(guān)于加解密方案的詳細(xì)說明

1、術(shù)語及說明

開啟回調(diào)模式時(shí)，有以下術(shù)語需要了解：

1）msg_signature是簽名，用于驗(yàn)證調(diào)用者的合法性

2）EncodingAESKey用于消息體的加密，長度固定為43個(gè)字符，從a-z, A-Z, 0-9共62個(gè)字符中選取，是AESKey的Base64編碼。解碼后即為32字節(jié)長的AESKey

3）AESKey=Base64_Decode(EncodingAESKey + “=”)，是AES算法的密鑰，長度為32字節(jié)。AES采用CBC模式，數(shù)據(jù)采用PKCS#7填充；IV初始向量大小為16字節(jié)，取AESKey前16字節(jié)。具體詳見：http://tools.ietf.org/html/rfc2315

4）msg為消息體明文，格式為XML

5）msg_encrypt = Base64_Encode( AES_Encrypt[random(16B) + msg_len(4B) + msg + $CorpID] )，是對(duì)明文消息msg加密處理后的Base64編碼

2、消息體簽名

為了驗(yàn)證調(diào)用者的合法性，微信在回調(diào)url中增加了消息簽名，以參數(shù)msg_signature標(biāo)識(shí)，企業(yè)需要驗(yàn)證此參數(shù)的正確性后再解密。驗(yàn)證步驟：

1）企業(yè)計(jì)算簽名：dev_msg_signature=sha1(sort(Token、timestamp、nonce、msg_encrypt))。sort的含義是將參數(shù)按照字母字典排序，然后從小到大拼接成一個(gè)字符串

2）比較dev_msg_signature和msg_signature是否相等，相等則表示驗(yàn)證通過。

3、加解密方案說明

• 對(duì)明文msg加密的過程如下：

msg_encrypt = Base64_Encode( AES_Encrypt[random(16B) + msg_len(4B) + msg + $CorpID] )

AES加密的buf由16個(gè)字節(jié)的隨機(jī)字符串、4個(gè)字節(jié)的msg長度、明文msg和$CorpID組成。其中msg_len為msg的字節(jié)數(shù)，網(wǎng)絡(luò) 字節(jié)序；$CorpID為企業(yè)號(hào)的CorpID。經(jīng)AESKey加密后，再進(jìn)行Base64編碼，即獲得密文msg_encrypt。

• 對(duì)應(yīng)于加密方案，解密方案如下：

1）對(duì)密文BASE64解碼：aes_msg=Base64_Decode(msg_encrypt)

2）使用AESKey做AES解密：rand_msg=AES_Decrypt(aes_msg)

3）驗(yàn)證解密后$CorpID、msg_len

4）去掉rand_msg頭部的16個(gè)隨機(jī)字節(jié)，4個(gè)字節(jié)的msg_len,和尾部的$CorpID即為最終的消息體原文msg。

#p#

二、加解密庫下載和返回碼

1、加解密庫的返回碼

2、加解密庫下載及示例

• c++庫(點(diǎn)擊下載)

注意事項(xiàng)：

1）WXBizMsgCrypt.h聲明了WXBizMsgCrypt類，提供用戶接入企業(yè)微信的三個(gè)接口。WXBizMsgCrypt.cpp文件提供了三個(gè)接口的實(shí)現(xiàn)。Sample.cpp文件提供了如何使用這三個(gè)接口的示例。

2）WXBizMsgCrypt類封裝了VerifyURL, DecryptMsg, EncryptMsg三個(gè)接口，分別用于開發(fā)者驗(yàn)證回調(diào)url，收到用戶回復(fù)消息的解密以及開發(fā)者回復(fù)消息的加密過程。使用方法可以參考Sample.cpp文件。

3）加解密協(xié)議請(qǐng)參考企業(yè)微信官方文檔。

4）加解密過程使用了開源的openssl和tinyxml2庫，請(qǐng)開發(fā)者自行安裝之后使用。

   *openssl的版本號(hào)是openssl-1.0.1h，http://www.openssl.org/

   *tinyxml2的版本號(hào)是tinyxml2-2.1.0，https://github.com/leethomason/tinyxml2

• python庫(點(diǎn)擊下載)

注意事項(xiàng)：

1）WXBizMsgCrypt.py文件封裝了WXBizMsgCrypt接口類，提供了用戶接入企業(yè)微信的三個(gè)接口，Sample.py文件提供了如何使用這三個(gè)接口的示例，ierror.py提供了錯(cuò)誤碼。

2）WXBizMsgCrypt封裝了VerifyURL, DecryptMsg, EncryptMsg三個(gè)接口，分別用于開發(fā)者驗(yàn)證回調(diào)url、接收消息的解密以及開發(fā)者回復(fù)消息的加密過程。使用方法可以參考Sample.py文件。

3）本代碼用到了pycrypto第三方庫，請(qǐng)開發(fā)者自行安裝此庫再使用。

• php庫(點(diǎn)擊下載)

注意事項(xiàng)：

1）WXBizMsgCrypt.php文件提供了WXBizMsgCrypt類的實(shí)現(xiàn)，是用戶接入企業(yè)微信的接口類。Sample.php提供了 示例以供開發(fā)者參考。errorCode.php, pkcs7Encoder.php, sha1.php, xmlparse.php文件是實(shí)現(xiàn)這個(gè)類的輔助類，開發(fā)者無須關(guān)心其具體實(shí)現(xiàn)。

2）WXBizMsgCrypt類封裝了VerifyURL, DecryptMsg, EncryptMsg三個(gè)接口，分別用于開發(fā)者驗(yàn)證回調(diào)url、接收消息的解密以及開發(fā)者回復(fù)消息的加密過程。使用方法可以參考Sample.php文件。

• java庫(點(diǎn)擊下載)

注意事項(xiàng)：

1）com\qq\weixin\mp\aes目錄下是用戶需要用到的接入企業(yè)微信的接口，其中WXBizMsgCrypt.java文件提供的 WXBizMsgCrypt類封裝了用戶接入企業(yè)微信的三個(gè)接口，其它的類文件用戶用于實(shí)現(xiàn)加解密，用戶無須關(guān)心。sample.java文件提供了接口 的使用示例。

2）WXBizMsgCrypt封裝了VerifyURL, DecryptMsg, EncryptMsg三個(gè)接口，分別用于開發(fā)者驗(yàn)證回調(diào)url、接收消息的解密以及開發(fā)者回復(fù)消息的加密過程。使用方法可以參考Sample.java文件。

3）請(qǐng)開發(fā)者使用jdk1.7以上的版本。針對(duì)org.apache.commons.codec.binary.Base64，需要導(dǎo)入jar包c(diǎn)ommons-codec-1.9（或comm ons-codec-1.8等其他版本），我們有提供，官方下載地址：

http://commons.apache.org/proper/commons-codec/download_codec.cgi

4）異常java.security.InvalidKeyException:illegal Key Size的解決方案：

在官方網(wǎng)站下載JCE無限制權(quán)限策略文件（JDK7的下載地址：

http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

下載后解壓，可以看到local_policy.jar和US_export_policy.jar以及readme.txt。如果安裝了JRE， 將兩個(gè)jar文件放到%JRE_HOME% \lib\security目錄下覆蓋原來的文件，如果安裝了JDK，將兩個(gè)jar文件放到%JDK_HOME%\jre\lib\security目錄 下覆蓋原來文件。

• c#庫(點(diǎn)擊下載)

注意事項(xiàng)：

1）Cryptography.cs文件封裝了AES加解密過程，用戶無須關(guān)心具體實(shí)現(xiàn)。WXBizMsgCrypt.cs文件提供了用戶接入企業(yè)微信的三個(gè)接口，Sample.cs文件提供了如何使用這三個(gè)接口的示例。

2）WXBizMsgCrypt.cs封裝了VerifyURL, DecryptMsg, EncryptMsg三個(gè)接口，分別用于開發(fā)者驗(yàn)證回調(diào)url、接收消息的解密以及開發(fā)者回復(fù)消息的加密過程。使用方法可以參考Sample.cs文件。

#p#

三、全局返回碼說明

企業(yè)號(hào)每次調(diào)用接口時(shí)，可能獲得正確或錯(cuò)誤的返回碼，企業(yè)可以根據(jù)返回碼信息調(diào)試接口，排查錯(cuò)誤。

全局返回碼說明如下：