token验证失败

微信公众平台开发 实现步骤： 第一步：填写服务器配置 登录微信公众平台官网后，在公众平台后台管理页面 - 开发者中心页，点击“修改配置”按钮，填写服务器地址（URL）、Token和EncodingAESKey，其中URL是开发者用来接收微信消息和事件的接口URL。Token可由开发者可以任意填写，用作生成签名（该Token会和接口URL中包含的Token进行比对，从而验证安全性）。EncodingAESKey由开发者手动填写或随机生成，将用作消息体加解密密钥。 同时，开发者可选择消息加解密方式：明文模式、兼容模式和安全模式。模式的选择与服务器配置在提交后都会立即生效，请开发者谨慎填写及选择。加解密方式的默认状态为明文模式，选择兼容模式和安全模式需要提前配置好相关加解密代码，详情请参考消息体签名及加解密部分的文档。 第二步：验证服务器地址的有效性 开发者提交信息后，微信服务器将发送GET请求到填写的服务器地址URL上，GET请求携带四个参数： signature 微信加密签名，signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。 timestamp 时间戳 nonce 随机数 echostr 随机字符串 开发者通过检验signature对请求进行校验（下面有校验方式）。若确认此次GET请求来自微信服务器，请原样返回echostr参数内容

JWT （JSON Web Token）介绍， 官网 ， github 定义： JSON Web令牌（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于在各方之间作为JSON对象安全地传输信息。该信息可以被验证和信任，因为它是数字签名的。JWTS可以使用秘密（使用HMAC算法）或公钥/私钥对使用RSA或ECDSA来签名。 JWT的主要应用场景 身份认证在这种场景下，一旦用户完成了登陆，在接下来的每个请求中包含JWT，可以用来验证用户身份以及对路由，服务和资源的访问权限进行验证。由于它的开销非常小，可以轻松的在不同域名的系统中传递，所有目前在单点登录（SSO）中比较广泛的使用了该技术。 信息交换在通信的双方之间使用JWT对数据进行编码是一种非常安全的方式，由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的。 JWT由Header，Payload及Signature 3个子字符串组成 格式为：Header.Payload.Signature 例如：eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJKb2UifQ.ipevRNuRP6HflG8cFKnmUPtyp...oLL62SY Header : {"alg": "HS256"} Payload : {"sub": "Joe"} Signature :

1. 什么是接口 接口简单来说就是服务器端用来返回给其他程序或者客户端数据的桥梁 2. 接口的作用 根据固定参数返回固定数据 3. API接口保障安全性原则 1.有调用者身份 2.请求的唯一性 3.请求的参数不能被篡改 4.请求的有效时间 4. 接口安全需求 1.最好必须启用HTTPS 2.signature签名 3.token登陆的唯一票据 4.验证时间戳 5.对要求安全性高的接口数据进行加密传输（aes+rsa） 5. signature签名 简而言之，签名设计的原则就是保证服务器所接收到的数据是自己的APP端传过来的，而不是其他人非法调用的，在APP端给签名加密时需要加上特有固定参数，服务器也是加上特有固定参数，从而来保证一对一的传输，每个接口都需要调用该签名验证方法 目的： 为了提高传参过程中，防止参数被恶意修改，在请求接口的时候加上sign可以有效防止参数被篡改 API接口的安全性主要是为了保证数据不会被篡改和重复调用，实现方案主要围绕Token、时间戳和Sign三个机制展开设计。 1. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token（必须要保证唯一，可以结合UUID和本地设备标示），并将Token-UserId以键值对的形式存放在缓存服务器中（我们是使用Redis），并要设置失效时间。服务端接收到请求后进行Token验证

本文是【浅析微信支付】系列文章的第十六篇，主要讲解如何使用微信公众平台的卡券功能、如何使用HTML5在网页展示用户领券以及微信卡券和商户平台代金券的关系。 浅析微信支付系列已经更新十六篇了哟～，没有看过的朋友们可以看一下哦。 浅析微信支付：开通免充值产品功能及如何进行接口升级指引 浅析微信支付：商户平台代金券或立减优惠开通、指定用户代金券发放、查询等 浅析微信支付：商户平台开通现金红包、指定用户发放、红包记录查询 浅析微信支付：支付验收示例和验收指引 浅析微信支付：如何使用沙箱环境测试 前几篇文章主要介绍了如何在【微信商户平台】使用代金券和满减优惠折扣等产品功能，有不少小伙伴说到，【微信公众平台】也有一个卡券功能，那么他们有什么差别呢？这个卡券功能该如何使用？本文会给大家一个解释。 两者的差别 首先，我们来解释商户平台和微信平台各自优惠券的区别，如果有人试过，那么应该知道，两者是不通用的，不通用的，不通用的！！！ 至于这里要重点标识不通用？因为在开通微信卡券功能后，在商户平台也会出现微信卡券对应优惠券信息，虽然没有发券的功能，只是展示，但如果我们走接口发券，就会出现 发券失败，不支持发送xxx类型的优惠券 的错误，这时就尴尬了； 还没完，因为平台不同，所以微信卡券和支付优惠券发送、领取的方式（接口）也是不同的，包括用户领取时跳转到的页面也不相同，这个也请大家注意。 所以

背景： 过年前后做了个微信公众号项目，已经过去一段时间了，抽空回忆总结下基本流程吧，不然很快估计自己就忘了。。 微信公众平台官网： https://mp.weixin.qq.com 一、注册公众号 首先注册时可以看到公众号有三种类型，个人用户大多数选择 订阅号 ，而企业用户一般选择 服务号 和 企业号 。 我们平常大多数关注的都是 订阅号 ，他们统一都放置在微信应用的订阅号消息列表中，没有微信支付等高级功能，只是用于发布文章等基础功能。 而服务号和企业号都在会话列表，和我们的微信好友是同级别的位置，具备微信支付等高级功能，一般是某个企业品牌的对外操作窗口，如海底捞火锅、顺丰速运等。 我们前期开发测试只需要 注册个人订阅号 即可，真正开发使用的是开发者工具里的测试号，具体下面会说。 真正生产的话，使用的都是经过微信认证的订阅号、服务号、企业号。 二、了解公众号管理页面 我们在微信公众平台扫码登录后可以发现管理页面左侧菜单栏有丰富的功能： 大概可以分为这几大模块： 首页、功能、小程序、管理、推广、统计、设置、开发 作为开发人员，首先应该关注的是设置、开发模块；而作为产品运营人员，关注的是功能、管理、推广模块；作为数据分析人员，关注的是统计模块。 首先我们不妨各个功能模块都点击看一看，大概了解下我们能做些什么。可以确认的是，这个微信公众平台当然不只是给开发人员使用的

一、概念 幂等性, 通俗的说就是一个接口, 多次发起同一个请求, 必须保证操作只能执行一次 比如: 订单接口, 不能多次创建订单 支付接口, 重复支付同一笔订单只能扣一次钱 支付宝回调接口, 可能会多次回调, 必须处理重复回调 普通表单提交接口, 因为网络超时等原因多次点击提交, 只能成功一次 等等 二、常见解决方案 唯一索引 – 防止新增脏数据 token机制 – 防止页面重复提交 悲观锁 – 获取数据的时候加锁(锁表或锁行) 乐观锁 – 基于版本号version实现, 在更新数据那一刻校验数据 分布式锁 – redis(jedis、redisson)或zookeeper实现 状态机 – 状态变更, 更新数据时判断状态 三、本文实现 本文采用第2种方式实现, 即通过redis + token机制实现接口幂等性校验 四、实现思路 为需要保证幂等性的每一次请求创建一个唯一标识token, 先获取token, 并将此token存入redis, 请求接口时, 将此token放到header或者作为请求参数请求接口, 后端接口判断redis中是否存在此token: 如果存在, 正常处理业务逻辑, 并从redis中删除此token, 那么, 如果是重复请求, 由于token已被删除, 则不能通过校验, 返回请勿重复操作提示 如果不存在, 说明参数不合法或者是重复请求, 返回提示即可 五

1、JWT简介 JSON Web Token（缩写 JWT），是目前最流行的跨域认证解决方案。 session登录认证方案：用户从客户端传递用户名、密码等信息，服务端认证后将信息存储在session中，将session_id放到cookie中。 以后访问其他页面，自动从cookie中取到session_id，再从session中取认证信息。 另一类解决方案，将认证信息，返回给客户端，存储到客户端。下次访问其他页面，需要从客户端传递认证信息回服务端。 JWT就是这类方案的代表，将认证信息保存在客户端。 2、JWT 的原理 JWT 的原理是，服务器认证以后，生成一个 JSON格式的 对象，发回给客户端，就像下面这样。 {"用户名": "admin","角色": "超级管理员","到期时间": "2019-07-13 00:00:00"} 以后，客户端与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。 为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。 服务器不再保存任何 session 数据，也就是服务器变成无状态了，从而比较容易实现扩展。 3、JWT 的使用方式 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。 此后，客户端每次与服务器通信，都要带上这个 JWT

单点登录 多系统，单一位置登录，实现多系统同时登录的一种技术 （三方登录：某系统使用其他系统的用户，实现本系统登录的方式。如微信登录、支付宝登录） 单点登录一般是用于互相授信的系统，实现单一位置登录，全系统有效 一、Session跨域 　　所谓 Session 跨域就是摒弃了系统提供的 Session ，而使用自定义的类似 Session 的机制来保存客户端数据的一种解决方案。 　　如：通过设置 cookie 的 domain 来实现 cookie 的跨域传递。在 cookie 中传递一个自定义的 session_id。这个 session_id 是客户端的唯一标记，将这个标记作为key，将客户需要保存的数据作为value，在服务端进行保存（数据库保存或nosql保存）。这种机制就是 Session 的跨域解决。 　　 什么为跨域：客户端请求的时候，请求的服务器，不是同一个IP、端口、域名、主机名的时候，都称为跨域。 　　什么是域：在应用模型中，一个完整的、有独立访问路径的功能集合成为一个域。 　　　　　　　如：百度称为一个应用或系统，其下有若干个域，如搜索引擎（www.baidu.com），百度贴吧（tie.baidu.com），百度知道（zhidao.baidu.com）等。 　　　　　　　有时也称为多级域名。域的划分：以IP、端口、域名、主机名为标准，实现划分。 二

　　最近几天在学习Apache Shiro......看了一些大神们的教程.....感觉收获不少.....但是毕竟教程也只是指引一下方向....即使是精品教程,仍然有很多东西都没有说明....所以自己也稍微研究了一下...记录了一下我的研究发现.... 教程点这里 　　这篇教程的最后提到了strategy.....然后给出了4个方法.....但是并没有怎么详细说明.....我想说说我的理解.....(我的理解可能会有很多错误) 　　我想先说说登陆验证的大致流程....大致...... Subject 从用户那里收集完用户名密码以后我们会调用subject.login(token)这个方法去登陆.....Subject是一个接口,没有定义login的具体实现.....Shiro里只有一个类实现了这个接口,是DelegatingSubject这个类.这个类里的方法login方法如下: 1 public void login(AuthenticationToken token) throws AuthenticationException { 2 clearRunAsIdentitiesInternal(); 3 Subject subject = securityManager.login(this, token); 4 5 PrincipalCollection principals

声明：本文转载自https://jadyer.cn/2013/09/30/springmvc-shiro/玄玉的个人博客。用于个人学习参考。 示例代码 首先是 web.xml < ? xml version = "1.0" encoding = "UTF-8" ? > < web - app version = "2.5" xmlns = "http://java.sun.com/xml/ns/javaee" xmlns : xsi = "http://www.w3.org/2001/XMLSchema-instance" xsi : schemaLocation = "http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" > < context - param > < param - name > contextConfigLocation < / param - name > < param - value > classpath : applicationContext . xml < / param - value > < / context - param > < listener > < listener - class > org .