概念

由于这种模式多了很多稀奇古怪的概念,首先我们来理一理这个概念。

  1. 三种token
  • 企业接口的token
  • 应用授权的token
  • 服务商的token

参考文档:https://work.weixin.qq.com/api/doc#11791

  1. 各种ID
  • CorpID:整个企业微信的ID
  • SuiteID:服务商新建的每一个应用特有的ID
  • Secret:服务商新建的每一个应用特有的Secret

构造登录URL

做过oauth的同学都知道,oauth登录的第一步是引导用户到第三方服务器,然后用户确认授权登录(或者静默授权)之后,跳转回自己的服务器,同时带上code这个参数值。

企业微信服务商构建url的文档地址在:

https://work.weixin.qq.com/api/doc#10975/构造第三方oauth2链接

就是说我们要构建出一个地址:

https://open.weixin.qq.com/connect/oauth2/authorize?appid={appid}&redirect_uri={redirect_uri}&response_type=code&scope={scope}&state=STATE#wechat_redirect

参数名 含义
appid 服务商应用ID
redirect_uri urlencode之后的回调地址
scope 应用授权作用域。
snsapi_base:静默授权,可获取成员的基础信息;
snsapi_userinfo:静默授权,可获取成员的详细信息,但不包含手机、邮箱;
snsapi_privateinfo:手动授权,可获取成员的详细信息,包含手机、邮箱。

注:snsapi_privateinfo的时候,必须在服务商应用那里打开敏感信息授权,并且注意,已经安装测试的应用打开授权必须要先取消再安装。

根据code获取用户的相关信息

其实就是通过get请求获取用户信息,请求的地址是:

https://qyapi.weixin.qq.com/cgi-bin/service/getuserinfo3rd?access_token={SUITE_ACCESS_TOKEN}&code={CODE}

当然,如果是想获取成员信息(之前的scope不是snsapi_base),则还需要用从这个接口获取到的user_ticket再一次请求接口https://qyapi.weixin.qq.com/cgi-bin/service/getuserdetail3rd?access_token={SUITE_ACCESS_TOKEN}

注意:如果用户的企业没有安装这个应用可以拿到openid,已经安装则返回userid

获取SUITE_ACCESS_TOKEN

先上文档:

https://work.weixin.qq.com/api/doc#11791/应用授权的token

这个接口需要三个参数,其中suite_id和suite_secret是应用特有的参数,而suite_ticket是微信服务器通过指令回调URL每10分钟推送过来的数据

处理企业微信指令回调

首先这个URL是应用配置的,然后post过来是xml格式的字符串,当然企业微信提供了各种语言的sdk解密这个xml数据

SDK下载地址:

https://work.weixin.qq.com/api/doc#10128

  1. 如何通过URL的校验,首先在企业微信的应用管理里面要校验通过URL才能安装应用,然后这个校验就是发送一个GET请求到这个地址,然后我们只需要调用sdk的VerifyURL函数,把运算结果直接返回即可通过校验

下面以python作为例子:

from WXBizMsgCrypt import WXBizMsgCrypt
wxcpt=WXBizMsgCrypt(sToken,sEncodingAESKey,sCorpID)
ret,sEchoStr=wxcpt.VerifyURL(sVerifyMsgSig, sVerifyTimeStamp,sVerifyNonce,sVerifyEchoStr)

输出到浏览器(sEchoStr)

参数含义:

  • sToken:应用配置的回调配置的Token
  • sEncodingAESKey:应用配置的回调配置的EncodingAESKey
  • sCorpID:企业微信的CorpID
  • sVerifyMsgSig:GET参数msg_signature
  • sVerifyTimeStamp:GET参数timestamp
  • sVerifyNonce:GET参数nonce
  • sVerifyEchoStr:GET参数echostr
  1. 如何拿到suite_ticket

因为suite_ticket是10分钟一次post到上面的URL,但是我们接收到的是一段xml,然后我们需要用sdk的DecryptMsg函数解码出真正明文的xml字符串

下面以python代码为例子:

from WXBizMsgCrypt import WXBizMsgCrypt
wxcpt=WXBizMsgCrypt(sToken,sEncodingAESKey,sCorpID)
ret,sMsg=wxcpt.DecryptMsg( sReqData, sReqMsgSig, sReqTimeStamp, sReqNonce)
  • sToken:应用配置的回调配置的Token
  • sEncodingAESKey:应用配置的回调配置的EncodingAESKey
  • sCorpID:企业微信的CorpID
  • sRespData: 收到的xml字符串
  • sReqNonce:GET参数nonce
  • sReqTimeStamp:GET参数timestamp
  • sReqMsgSig:GET参数msg_signature
  • sMsg:解码后的明文xml

总结

其实服务商模式的企业微信oauth跟普通微信公众号的oauth就只有一点点差别,首先获取的access_token需要一个动态参数值,其中这个参数值是企业微信服务器定时发送到我们的服务器的。

然后我们调用的一些API是有IP限制的,这个需要在服务商后台配置白名单(作用域是整个服务商所有应用)

注意:本文写于2017年12月19日,仅代表当前可用,不保证之后升级策略导致的影响