search

binarywang / weixin-java-miniapp-demo

基于Spring Boot 和 WxJava 实现的微信小程序Java后端Demo
1.32k stars 669 forks source link

示例程序 WxPortalController#post 为什么不校验签名? #73

Open awaken233 opened 2 months ago

awaken233 commented 2 months ago

WxPortalController#post 为什么不调用 wxMaService.checkSignature(timestamp, nonce, signature) 校验签名呢?

https://github.com/binarywang/weixin-java-miniapp-demo/blob/02dd8c09641abf024ea689eb8016d984da02a901/src/main/java/com/github/binarywang/demo/wx/miniapp/controller/WxPortalController.java#L51-L99

WxPortalController#authGet 中校验了签名,但是这个方法只有在小程序管理后台配置url, token, aesKey手动校验 token 的时候才会调用吧?

awaken233 commented 1 month ago

应该还是需要校验签名的吧? 我看示例程序中是直接解析消息内容 WxMaMessage.fromEncryptedXml(), 这里是直接使用 aes 解密. 没有验证签名和验证消息签名.