我的公众号开发(第五步)python实现公众号消息加密

作者:JiawuZhang
出品:JiawuLab(ID:jiawulab)

实验记录系列是JiawuLab原创栏目,通过真实项目的操作,记录整个实验过程。
旨在通过一步步过程,零基础的朋友都能直接上手。

大家好,我是JiawuZhang,本次实验记录的项目是——微信公众号开发。

我的公众号开发的第五篇文章,如果您没看过前四篇文章,这里是传送门:

(第一步)简单功能实现
(第二步)智能AI对接
(第三步)数据库实现关键字回复
(第四步)图文消息回复

希望您多多关注。

上期回顾

我们首先新增图文消息回复,用一种更美观的方式来进行消息回复

并且让数据库更轻松,可承载更多的并发处理

最后也拥有了日志功能。

现在已经拥有了相对完整的功能,只需要日后根据运营情况,进行完善相关功能就行。

不过为了安全,我们还得多做一步,就是消息加密,本期我们就来实现它。

本期知识点

1、消息加密

2、后续工作

吐槽两句

官方对于消息加密的资料太乱了,本来我认为公众号的资料就能解决,想不到还要跑到开放平台找资料

再就是示例代码中的坑有点多,尤其是对python3而言,在处理过程中,经常要调试

Web.py的一个bug太坑了,也是针对python3的,就是在POST方法中,使用web.input()方法会出错

一直报错write() argument must be str, not bytes,主要原因是python2和python3中对‘bytes’和‘str’的处理不同

而且在调试中还不能直接显示,我是在公众号平台中的运维中心发现的,

因为这个问题,耗费了我近两天的时间来找出解决办法,

网上的信息太少,为此,我基本把web的源代码看了一半,为了理解代码的处理逻辑。

吐槽完了,心里舒服了,我们继续进行本期文章

消息加密

首先说明一下,用python来实现公众号消息加密,在网络中的资料特别少,基本上都是放一些基础的知识,就像我的第一期文章那样,

所以,你看到我的分享,并用于实现公众号的开发中,是非常有用的。

开始我以为资料少,是因为大家都很容易处理,结果我就碰到上面吐槽的两大坑了。

官网找资料

消息加密,当然需要在官网资料中找找, 我们唯一能发现的地方就是如下图

资料只有右边红框中的介绍,最下方有个示例代码,我们下载后,

得到这五个文件夹,我们当然是选用python,注意,这个示例代码是用python2写成的,我们需转为python3,才能使用

打开后一共有四个文件,"pycache"是修改后生成的缓存文件

经过分析后,主要有三个功能文件:

1、ierror.py 定义各种错误编号的文件,不用改

2、WXBizMsgCrypt.py 重要功能文件,也是唯一需要转换为python3的文件

3、Sample.py 测试文件,不用改,我们将WXBizMsgCrypt.py文件转换后,用来测试是否成功的

这里,我就直接把已经转换过WXBizMsgCrypt.py文件贴出来,代码有点长,我们后面分析

#!/usr/bin/env python
#-*- encoding:utf-8 -*-
""" 对公众平台发送给公众账号的消息加解密示例代码.
@copyright: Copyright (c) 1998-2014 Tencent Inc.

"""
# ------------------------------------------------------------------------

import base64
import string
import random
import hashlib
import time
import struct

from Crypto.Cipher import AES
import xml.etree.cElementTree as ET
import socket
import ierror

"""
关于Crypto.Cipher模块,ImportError: No module named 'Crypto'解决方案
请到官方网站 https://www.dlitz.net/software/pycrypto/ 下载pycrypto。
下载后,按照README中的“Installation”小节的提示进行pycrypto安装。
"""


class FormatException(Exception):
    pass


def throw_exception(message, exception_class=FormatException):
    """my define raise exception function"""
    raise exception_class(message)


class SHA1:
    """计算公众平台的消息签名接口"""

    def getSHA1(self, token, timestamp, nonce, encrypt):
        """用SHA1算法生成安全签名
        @param token:  票据
        @param timestamp: 时间戳
        @param encrypt: 密文
        @param nonce: 随机字符串
        @return: 安全签名
        """
        try:
            sortlist = [token, timestamp, nonce, encrypt]
            sortlist.sort()
            sha = hashlib.sha1()
            sha.update("".join(sortlist).encode("utf8"))
            return ierror.WXBizMsgCrypt_OK, sha.hexdigest()
        except Exception as e:
            print(e)
            return ierror.WXBizMsgCrypt_ComputeSignature_Error, None


class XMLParse:
    """提供提取消息格式中的密文及生成回复消息格式的接口"""

    # xml消息模板
    AES_TEXT_RESPONSE_TEMPLATE = """
        
        
        %(timestamp)s
        
        """

    def extract(self, xmltext):
        """提取出xml数据包中的加密消息
        @param xmltext: 待提取的xml字符串
        @return: 提取出的加密消息字符串
        """
        try:
            xml_tree = ET.fromstring(xmltext)
            encrypt = xml_tree.find("Encrypt")
            touser_name = xml_tree.find("ToUserName")
            return ierror.WXBizMsgCrypt_OK, encrypt.text, touser_name.text
        except Exception as e:
            print(e)
            return ierror.WXBizMsgCrypt_ParseXml_Error, None, None

    def generate(self, encrypt, signature, timestamp, nonce):
        """生成xml消息
        @param encrypt: 加密后的消息密文
        @param signature: 安全签名
        @param timestamp: 时间戳
        @param nonce: 随机字符串
        @return: 生成的xml字符串
        """
        resp_dict = {
            'msg_encrypt': encrypt,
            'msg_signaturet': signature,
            'timestamp': timestamp,
            'nonce': nonce,
        }
        resp_xml = self.AES_TEXT_RESPONSE_TEMPLATE % resp_dict
        return resp_xml


class PKCS7Encoder():
    """提供基于PKCS7算法的加解密接口"""

    block_size = 32

    def encode(self, text):
        """ 对需要加密的明文进行填充补位
        @param text: 需要进行填充补位操作的明文
        @return: 补齐明文字符串
        """
        text_length = len(text)
        # 计算需要填充的位数
        amount_to_pad = self.block_size - (text_length % self.block_size)
        if amount_to_pad == 0:
            amount_to_pad = self.block_size
        # 获得补位所用的字符
        pad = chr(amount_to_pad).encode()
        return text + pad * amount_to_pad

    def decode(self, decrypted):
        """删除解密后明文的补位字符
        @param decrypted: 解密后的明文
        @return: 删除补位字符后的明文
        """
        pad = ord(decrypted[-1])
        if pad < 1 or pad > 32:
            pad = 0
        return decrypted[:-pad]


class Prpcrypt(object):
    """提供接收和推送给公众平台消息的加解密接口"""

    def __init__(self, key):
        #self.key = base64.b64decode(key+"=")
        self.key = key
        # 设置加解密模式为AES的CBC模式
        self.mode = AES.MODE_CBC

    def encrypt(self, text, appid):
        """对明文进行加密
        @param text: 需要加密的明文
        @return: 加密得到的字符串
        """
        # 16位随机字符串添加到明文开头
        len_str = struct.pack("I", socket.htonl(len(text.encode())))
        text = self.get_random_str() + len_str + text.encode() + appid
        # 使用自定义的填充方式对明文进行补位填充
        pkcs7 = PKCS7Encoder()
        text = pkcs7.encode(text)
        # 加密
        cryptor = AES.new(self.key, self.mode, self.key[:16])
        try:
            ciphertext = cryptor.encrypt(text)
            # 使用BASE64对加密后的字符串进行编码
            return ierror.WXBizMsgCrypt_OK, base64.b64encode(
                ciphertext).decode('utf8')
        except Exception as e:
            #print(e)
            return ierror.WXBizMsgCrypt_EncryptAES_Error, None

    def decrypt(self, text, appid):
        """对解密后的明文进行补位删除
        @param text: 密文
        @return: 删除填充补位后的明文
        """
        try:
            cryptor = AES.new(self.key, self.mode, self.key[:16])
            # 使用BASE64对密文进行解码,然后AES-CBC解密
            plain_text = cryptor.decrypt(base64.b64decode(text))
        except Exception as e:
            # print(e)
            return ierror.WXBizMsgCrypt_DecryptAES_Error, None
        try:
            # pad = ord(plain_text[-1])
            pad = plain_text[-1]
            # 去掉补位字符串
            # pkcs7 = PKCS7Encoder()
            # plain_text = pkcs7.encode(plain_text)
            # 去除16位随机字符串
            content = plain_text[16:-pad]
            xml_len = socket.ntohl(struct.unpack("I", content[:4])[0])
            xml_content = content[4:xml_len + 4]
            from_appid = content[xml_len + 4:]
        except Exception as e:
            return ierror.WXBizMsgCrypt_IllegalBuffer, None
        if from_appid != appid:
            return ierror.WXBizMsgCrypt_ValidateAppid_Error, None
        return 0, xml_content.decode()

    def get_random_str(self):
        """ 随机生成16位字符串
        @return: 16位字符串
        """
        rule = string.ascii_letters + string.digits
        str = random.sample(rule, 16)
        return "".join(str).encode()


class WXBizMsgCrypt(object):
    #构造函数
    #@param sToken: 公众平台上,开发者设置的Token
    # @param sEncodingAESKey: 公众平台上,开发者设置的EncodingAESKey
    # @param sAppId: 企业号的AppId
    def __init__(self, sToken, sEncodingAESKey, sAppId):
        try:
            self.key = base64.b64decode(sEncodingAESKey + "=")
            assert len(self.key) == 32
        except Exception:
            throw_exception("[error]: EncodingAESKey unvalid !",
                            FormatException)
        #return ierror.WXBizMsgCrypt_IllegalAesKey)
        self.token = sToken
        self.appid = sAppId.encode()

    def EncryptMsg(self, sReplyMsg, sNonce, timestamp=None):
        #将公众号回复用户的消息加密打包
        #@param sReplyMsg: 企业号待回复用户的消息,xml格式的字符串
        #@param sTimeStamp: 时间戳,可以自己生成,也可以用URL参数的timestamp,如为None则自动用当前时间
        #@param sNonce: 随机串,可以自己生成,也可以用URL参数的nonce
        #sEncryptMsg: 加密后的可以直接回复用户的密文,包括msg_signature, timestamp, nonce, encrypt的xml格式的字符串,
        #return:成功0,sEncryptMsg,失败返回对应的错误码None
        pc = Prpcrypt(self.key)
        ret, encrypt = pc.encrypt(sReplyMsg, self.appid)
        if ret != 0:
            return ret, None
        if timestamp is None:
            timestamp = str(int(time.time()))
        # 生成安全签名
        sha1 = SHA1()
        ret, signature = sha1.getSHA1(self.token, timestamp, sNonce, encrypt)
        if ret != 0:
            return ret, None
        xmlParse = XMLParse()
        return ret, xmlParse.generate(encrypt, signature, timestamp, sNonce)

    def DecryptMsg(self, sPostData, sMsgSignature, sTimeStamp, sNonce):
        # 检验消息的真实性,并且获取解密后的明文
        # @param sMsgSignature: 签名串,对应URL参数的msg_signature
        # @param sTimeStamp: 时间戳,对应URL参数的timestamp
        # @param sNonce: 随机串,对应URL参数的nonce
        # @param sPostData: 密文,对应POST请求的数据
        #  xml_content: 解密后的原文,当return返回0时有效
        # @return: 成功0,失败返回对应的错误码
        # 验证安全签名
        xmlParse = XMLParse()
        ret, encrypt, touser_name = xmlParse.extract(sPostData)
        if ret != 0:
            return ret, None
        sha1 = SHA1()
        ret, signature = sha1.getSHA1(self.token, sTimeStamp, sNonce, encrypt)
        if ret != 0:
            return ret, None
        if not signature == sMsgSignature:
            return ierror.WXBizMsgCrypt_ValidateSignature_Error, None
        pc = Prpcrypt(self.key)
        ret, xml_content = pc.decrypt(encrypt, self.appid)
        return ret, xml_content

从上面代码中,我来分析给大家听听:

1、class WXBizMsgCrypt(object) 这个是我们后面主要调用的类,生成它的实例来完成加密和解密的事

2、 DecryptMsg WXBizMsgCrypt类中的解密方法,当服务器收到加密的消息体后,我们就用这个来进行解密

3、 EncryptMsg WXBizMsgCrypt类中的加密方法,当我们处理好回复消息体,就用这个方法来进行加密

4、 class XMLParse 这个类是用来处理消息体加解密的,返回的也是相应的消息体,“extract”、“generate”这两个就是相应的加解密的方法

5、 class PKCS7Encoderclass Prpcrypt 这两个类是做加密算法的,不用太关注

6、 class SHA1 这个类是用来对收到的加密消息体做验证的,验证通过,才会进行后续的处理

这么一大段代码,通过上面的分析之后,你是不是已经很清楚这个文件的逻辑了。

好了, 我们处理完示例文件的转换工作后,然后我们用Sample.py来验证一下,

输出没有问题,很好,那我们需要将代码改造到项目中。

那么后面该进行什么呢?

按照资料来说,进展不下去了, 这也就是我遇到的第一个坑。

通过对官网资料一个字一个字的研究,发现两个词很关键——接入指引技术方案

顺着这个线索,我最终在开发平台里面的第三方平台标签下找到了,如下图

上天不负眼神好的人啊,终于被我找到了。咳咳咳,说笑了。

我们继续看接入指引技术方案两篇内容,这里不再截图,大家可以仔细研究一下

我说一下个人的理解,收到加密消息体后,进行消息体验证,签名验证通过后,解密消息体,然后成了正常的消息体

再进行我们原来的操作, 得到正常的回复消息体后,再对回复消息体进行加密,发送即可

这里验证消息体签名,需要用到“msg_signature“、”timetamp“、”nonce”,这三个参数,以及加密消息体本身

而这三个参数,直接可以从url链接中就能得到,就像我们最开始做token验证一样

好简单啊,我们只要在原来项目前面做下验证与解密,最后做下加密工作,就可以了(事后发现,小伙,你想的太简单了。)

那我们开始操作吧。

验证与解密

首先,我们来做验证与解密,细心的朋友,在上面大段代码分析中已经看到,里面有个class SHA1类,直接做了验证工作

我们只需要传进行参数就可以了,这四个参数就是技术文档说的“msg_signature“、”timetamp“、”nonce”,以及加密消息体本身

(事后注释:以下操作有错误的,大家可以看看逗比过程!〜)

我们直接进Handle类中的POST方法进行更改

# 导入区,导入WXBizMsgCrypt
from WXBizMsgCrypt import WXBizMsgCrypt
... # 其他代码不变
def __init__(self):
    # 增加三个设置
    self.token = '公众号后台设置中的token'
    self.encodingAESKey = '公众号后台设置中的encodingAESKey'
    self.appid =  '公众号后台设置中的appid'

def POST(self):
    try:
        # 新增获取参数
        arg_data = web.input()
        msg_sign = arg_data.msg_signature
        timestamp = arg_data.timestamp
        nonce = arg_data.nonce

        # 获取消息体不变
        web_Data = web.data()

        # 实例化WXBizMsgCrypt
        crypt = WXBizMsgCrypt(self.token, self.encodingAESKey, self.appid)
        ret, decryp_data = crypt.DecryptMsg(web_Data, msg_sign, timestamp, nonce)

        recMsg = receive.parse_xml(decryp_data)
... # 其他代码不变

首先是在__init__中增加三个设置,三个值在公众号后台-基本配置里面,如下图

将三个值增加到代码中,后面注释中已经说明了,当然这里我已经调为“安全模式”了,如果你还没有更改,可以在修改配置中改过来。

经过上面的代码改造,我们来测试一下,看看消息加密后,回复消息是否正常

(事后注释:因为代码是错的,所以省略回复的部分,直接进入测试环节)

很显然,是不正确的,当我使用'python3 main.py 80'重启服务后,使用手机发送,情况是这样的

还有好几页呢,全屏的“服务出现故障,稍后重试”,按照技术文档写的,应该没有问题啊

日志文件中也没有报错,只是原来能打印出信息,现在没有打印出来

经过半天的测试摸索,终于在公众号后台的运维中心找到的原因。

这里都是记录消息回复出错的地方,我们点进去看看,出现什么错误:

我将私密信息隐藏了,红块有点多,大家主要看箭头所指的地方

错误显示是write() argument must be str, not bytes,也就是说“bytes”、“str”两个类型弄错了。

然后,我经过无数尝试,什么“bytes”类型转为“str”类型等,发现还没有解决

百度,csdn,cnblog,,stackoverflow,知乎,V2EX。。。可能你能想到的地方,都找了一下这个问题的原因

大部分都是说的文件读取的事,与我们没什么关系。

最后通过DEBUG,发现主要问题出现在web.input(),本身是想用它来获取url上的参数

结果什么都没有得到,查看web官网的介绍,没有什么问题啊

然后开始研究web的源代码,找到input和data的代码, 发现是在webapi文件中的,

然后看webapi文件,以及相关的cgi文件,utils文件等等

最后发现有个东西可以得到我想要的url参数,就是"web.ctx.env",里面是post中的各种信息。

当然我还是希望能用更好的办法来进行,最后在web的github中的“issue”中发现了问题所在

看到没,最上面一条就是这个问题,而且是几个小时前刚发布的,然后我在closed里面也找到几条类似问题

你说为了写一篇文章,我容易吗?这里终于发现了问题

通过“issue”中的说明,发现原来是python2和python3的版本问题

“bytes”、“str”在python2中不用指明,但在python3中必须指明,否则就会报出上面的错误

也给出了解决办法,就是修改源文件,在里面继承“FieldStorage”类,再改写其中的“make_file”方法

正确的代码改造

上面方法也比较容易,但是改写源代码,意味着通用性不高,比如我要将这个项目复制到另一个公众号上

我还要改写web.py的源代码,才能使用,这样不太好,

为了代码的普适性,所以我就使用上面发现的"web.ctx.env"来进行,无非是自己从url中提取想要的信息嘛,这都不是事〜狗脸

确定好了方向,我们来进行代码改造,开始动手吧

依然是针对Handle类的POST方法进行改造

# 导入区,导入WXBizMsgCrypt
from WXBizMsgCrypt import WXBizMsgCrypt
... # 其他代码不变
def __init__(self):
    # 增加三个设置
    self.token = '公众号后台设置中的token'
    self.encodingAESKey = '公众号后台设置中的encodingAESKey'
    self.appid =  '公众号后台设置中的appid'

def POST(self):
    try:
        # 获取消息体不变
        web_Data = web.data()

        # 获取参数,这段会在后面分析
        arg_data = web.ctx.env['QUERY_STRING'].split('&')
        arg = dict([i.split('=') for i in arg_data])
        msg_sign = arg['msg_signature']
        timestamp = arg['timestamp']
        nonce = arg['nonce']

        # 实例化WXBizMsgCrypt
        crypt = WXBizMsgCrypt(self.token, self.encodingAESKey, self.appid)
        ret, decryp_data = crypt.DecryptMsg(web_Data, msg_sign, timestamp, nonce)

        # 如果解密失败,decryp_data为None,程序进行不下去,需要改为空字符串
        if ret != 0:
            decryp_data = ''
        recMsg = receive.parse_xml(decryp_data)
... # 其他代码不变

代码分析:

1、web.ctx.env,这段获取的是POST的信息包中‘env’部分,里面包含了很多信息,我们需要取URL,这段正好在'QUERY_STRING'中

我们可以看到各参数是由‘&’来联接的,所以这里把每个参数分出来,并转换为字典,方便取出,如下方

{'signature': '3a710f17b293488afa3327b2dbe9796cc834e934', 
 'timestamp': '1572670961', 
 'nonce': '116371171', 
 'openid': '这个是隐私部分,已隐藏', 
 'encrypt_type': 'aes', 
 'msg_signature': '765d4fbf46168348509b3ac3d826487c1b26a550'}

2、crypt是"WXBizMsgCrypt"的实例化,然后调用“DecryptMsg”方法,来进行消息体的验证及解密,获得解密的消息体

3、如代码中注释提到,如果解密失败,“decryp_data”返回为“None”,如果直接传给recMsg,会出现出错,

所以需要转换为空字符串,这样程序正确进行下去,只是“暂时不处理”

回复消息体加密

前面是做消息体验证及解密,经过Handle程序处理后,我们得到了回复消息体,现在进行回复体加密

再发送给微信端,这样粉丝才会收到相应的回复。

而得到回复消息体是在“replyMsg.send()”中返回后,直接发送给微信端

有两种办法可以解决:

1、直接在Handle每个回复的地方,将返回的回复消息体,执行加密后,再发送给微信端

2、在“reply”中的"send()"方法内进行加密处理,只需要传入两个参数即可

我在这里演示第二种方法,首先在Handle中进行改造

只需要将所有的“replyMsg.send()”,改为“replyMsg.send(crypt, nonce)”即可,传入两个必须的参数

然后在“reply”中的所有"send()"方法进行改造

...# 找到所有的send()方法
def send(self, crypt, nonce):
    ... # XmlForm 不变
    ret, encrypt_xml = crypt.EncryptMsg(XmlForm.format(**self.__dict), nonce)
    if ret == 0:
        return encrypt_xml
    else:
        return "success"
...

保存后,执行“nohup python3 main.py 80 > wx.log 2>&1 &”,服务启动,测试一下,如下图:

灰常Good~调用数据库的关键字回复,和调用智能机器人回复,都是能得到很好的演示

使用python来实现公众号的消息加密,就达到了我们的目标。

后续工作

到目前为止,我们拥有一个完整功能,并且消息安全加密的公众号,后面就能很好的开始运营公众号。

比如需要增加更多的关键字回复,就将其添加到数据库中,基本上不用重启服务器,直接添加就好。

比如需要修改关注后的回复,直接改动就可以,也不用重启服务器

比如需要优化智能AI机器人,按照第三期中的内容,来进行操作即可

写更多的优质原创文章,实验更多的小项目,与粉丝更多的互动,这些都是更重要的事情。

当然,如果你拥有更多的权限,其实可以做更多有趣的事:

比如使用网页授权,来进行WEB开发

比如使用素材权限,来进行图文管理,发布新图文的文章

比如使用主动消息权限,来进行客服消息,或是模板消息发布

比如使用自定义菜单权限,来进行更有趣的菜单实现

等等等等。。。你都能继续深入研究。

很高兴,您能一直陪着,看完成这五期的文章,谢谢你们。

之后,我还会带来更多新的原创实验项目,同时也会分享一些个人学习python的心得体会,以及遇到的一些优秀的python库。

本次的实验项目——公众号开发——在此完结。如果您喜欢这期文章,请点赞,支持一下。

欢迎您关注公众号:JiawuLab,体验完整功能,或者给我留言,说说你遇到的问题,我们一起探讨。

文中资源:

1、官方文档:
https://developers.weixin.qq.com/doc/offiaccount/Message_Management/Passive_user_reply_message.html#5

推荐阅读

我的公众号开发(第四步)图文消息回复

我的公众号开发(第三步)数据库实现关键字回复

我的公众号开发(第二步)智能AI对接

我的公众号开发(第一步)简单功能实现

长按扫码关注我

你可能感兴趣的:(我的公众号开发(第五步)python实现公众号消息加密)