参考:企业微信-回调配置(一)
官方demo参考:
使用企业微信提供了解密、加密、验证URL三个接口

1、数据回调校验和指令回调校验

这个都是GET请求校验。
参考:官方API文档:3.1 支持Http Get请求验证URL有效性
注意点:在1秒内响应GET请求,响应内容为上一步得到的明文消息内容(不能加引号,不能带bom头,不能带换行符)
这里必须使用HttpServletResponse来响应,使用@RestController的return返回值不能识别,可能是因为加了引号的原因。

  1. HttpServletResponse.write(sEchoStr);

2、刷新Ticket

参考:官方API文档:3.2 支持Http Post请求接收业务数据
注意点:

  1. CorpID = “SuiteID”; //这里要使用SuiteID第三方应用的id。
  2. 官方提供的工具类里,获取参数名称的不对,最新的ToUserName,AgentID,Encrypt是驼峰名称,原来的都是小写的。
  3. post请求体的格式xml,使用官方工具类是,需要先把xml转换成JSON字符串,再给工具类处理
  4. 解密Encrypt,得到明文的消息结构体也是xml格式的,如果要获取里面的数据,也需要进行解析。
  5. 响应也必须使用HttpServletResponse.write();

参数说明:

参数 类型 说明
msg_signature String 企业微信加密签名,msg_signature结合了企业填写的token、请求中的timestamp、nonce参数、加密的消息体
timestamp Integer 时间戳。与nonce结合使用,用于防止请求重放攻击。
nonce String 随机数。与timestamp结合使用,用于防止请求重放攻击。
ToUserName String 企业微信的CorpID,当为第三方应用回调事件时,CorpID的内容为suiteid
AgentID String 接收的应用id,可在应用的设置页面获取。仅应用相关的回调会带该字段。
Encrypt String 消息结构体加密后的字符串

附录:JAVA代码

  1. package com.tj.qywx.controller;
  3. import com.alibaba.fastjson.JSON;
  4. import com.github.wxpay.sdk.WXPayUtil;
  5. import com.qq.weixin.mp.aes.AesException;
  6. import com.qq.weixin.mp.aes.WXBizJsonMsgCrypt;
  7. import com.tj.base.service.BaseNumvarService;
  8. import lombok.extern.slf4j.Slf4j;
  9. import org.springframework.beans.factory.annotation.Autowired;
  10. import org.springframework.web.bind.annotation.*;
  12. import javax.servlet.http.HttpServletResponse;
  13. import java.io.IOException;
  14. import java.io.PrintWriter;
  15. import java.util.Map;
  17. @Slf4j  //日志
  18. @RestController  //RESTful风格写法
  19. @RequestMapping("/wxCallback")  //定义API接口
  20. public class WxCallbackCtrl {
  21.     @Autowired
  22.     private BaseNumvarService baseNumvarService;
  24.     /**
  25.      * 数据回调
  26.      *
  27.      * @param msg_signature 企业微信加密签名,msg_signature计算结合了企业填写的token、请求中的timestamp、nonce、加密的消息体。签名计算方法参考 消息体签名检验
  28.      * @param timestamp     时间戳。与nonce结合使用,用于防止请求重放攻击
  29.      * @param nonce         随机数。与timestamp结合使用,用于防止请求重放攻击。
  30.      * @param echostr       加密的字符串。需要解密得到消息内容明文,解密后有random、msg_len、msg、receiveid四个字段,其中msg即为消息内容明文
  31.      */
  32.     @GetMapping
  33.     void getDataCheck(String msg_signature, 
  34.                       String timestamp, 
  35.                       String nonce, 
  36.                       String echostr, 
  37.                       HttpServletResponse response) throws AesException, IOException {
  39.         String sToken = "应用设置的token";
  40.         String sCorpID = baseNumvarService.getCorpid();
  41.         String sEncodingAESKey = "应用设置的key";
  42.         PrintWriter out = response.getWriter();
  43.         //调用微信官方提供的工具类
  44.         WXBizJsonMsgCrypt wxcpt = new WXBizJsonMsgCrypt(sToken, sEncodingAESKey, sCorpID);
  45.         String sEchoStr; //需要返回的明文
  46.         try {
  47.             sEchoStr = wxcpt.VerifyURL(msg_signature, timestamp,
  48.                     nonce, echostr);
  49.             log.info("verifyurl echostr: {}", sEchoStr);
  50.             // 验证URL成功,将sEchoStr返回,这个地方必须这样返回,什么都不要加,不能加引号
  51.             out.write(sEchoStr);
  52.             out.close();
  53.         } catch (Exception e) {
  54.             //验证URL失败,错误原因请查看异常
  55.             e.printStackTrace();
  56.         }
  57.     }
  59.     /**
  60.      * 刷新Ticket
  61.      *
  62.      * @param msg_signature 企业微信加密签名,msg_signature结合了企业填写的token、请求中的timestamp、nonce参数、加密的消息体
  63.      * @param timestamp     时间戳。与nonce结合使用,用于防止请求重放攻击。
  64.      * @param nonce         随机数。与timestamp结合使用,用于防止请求重放攻击。
  65.      * @param xmlData       ToUserName    String    企业微信的CorpID,当为第三方应用回调事件时,CorpID的内容为suiteid
  66.      *                      AgentID    String    接收的应用id,可在应用的设置页面获取。仅应用相关的回调会带该字段。
  67.      *                      Encrypt    String    消息结构体加密后的字符串
  68.      * @return
  69.      * @throws AesException
  70.      */
  71.     @PostMapping
  72.     void postActionCheck(String msg_signature, 
  73.                          String timestamp, 
  74.                          String nonce, 
  75.                          @RequestBody String xmlData, 
  76.                          HttpServletResponse response) throws IOException {
  77.         String sToken = "应用设置的token";
  78.         String sCorpID = "SuiteID"; //这里要使用SuiteID第三方应用的id
  79.         String sEncodingAESKey = "应用设置的key";
  80.         log.info("msg_signature:{}", msg_signature);
  81.         log.info("timestamp:{}", timestamp);
  82.         log.info("nonce:{}", nonce);
  83.         log.info("xmldata的值:{}", xmlData);
  84.         PrintWriter out = response.getWriter();
  85.         try {
  86.             //调用微信官方提供的工具类
  87.             WXBizJsonMsgCrypt wxcpt = new WXBizJsonMsgCrypt(sToken, sEncodingAESKey, sCorpID);
  88.             //把xml转换成json格式
  89.             Map<String, String> map = WXPayUtil.xmlToMap(xmlData);
  90.             String jsonString = JSON.toJSONString(map);
  91.             log.info("xml转JSON后的字符串的值:{}", jsonString);
  92.             /* 官方工具类解析这个几个字符的时候,需要注意,字段名称大小写不一样了。要改成下面的这样的
  93.             String encrypt_msg = json.getString("Encrypt");
  94.             String tousername  = json.getString("ToUserName");
  95.             String agentid     = json.getString("AgentID");
  96.              */
  97.             String sMsg = wxcpt.DecryptMsg(msg_signature, timestamp, nonce, jsonString);
  98.             log.info("解密后的xml信息:{} ", sMsg);
  99.             // 获取SuiteTicket
  100.             Map<String, String> msgMap = WXPayUtil.xmlToMap(sMsg);
  101.             String SuiteTicket = msgMap.get("SuiteTicket");
  102.             log.info("SuiteTicket:{}", SuiteTicket);
  103.         } catch (Exception e) {
  104.             // TODO
  105.             // 解密失败,失败原因请查看异常
  106.             e.printStackTrace();
  107.         }
  108.         out.write("success");
  109.         out.close();
  110.     }
  111. }