企业微信应用权限签名api记录

签名权限逻辑

1.生成签名（客户端）：
参与签名的参数有四个: noncestr（随机字符串）, jsapi_ticket(如何获取参考“获取企业jsapi_ticket”以及“获取应用的jsapi_ticket接口”), timestamp（时间戳）, url（当前网页的URL， 不包含#及其后面部分）

2.票据生成jsapi_ticket，两个票据企业/app
通过token生成

3.获取toke）
corpid    是    企业ID，获取方式参考：术语说明-corpid
corpsecret    是    应用的凭证密钥，获取方式参考：术语说明-secret

这两个参数如何获取的（在配置中写的）

签名-票据-token-(corpid,corpsecret)

有两个token一个企业apptoken,一个用户token,上面生成的是企业apptoken,【有效期1h】，官网也是这个token
还有一个是用户token,是一个随机生产的数据，拼接固定字符串，【有效期8h】，接口token校验这个，value为用户

4.根据工号取员工信息，根据员工ID取名称

疑问，
token 8个小时不变，可能中间被别人获取，不就可以直接调接口了吗

验签体现在哪
服务端写死sign，
客户端怎么做的，每一个接口都会调用生产签名接口吗，可防止url中参数被修改，那同一个接口因随机数不同，生产签名不同，不同参数更不会相同
那服务端写死，又如何校验
服务端应该不是写死的，跟客户端做了同样的生产签名算法，服务端拿到参数应该是原始的数据，怎么拿到没有被篡改之前的请求参数。