本文包含了企業(yè)號回調(diào)企業(yè)時加解密的詳細方案、庫和示例代碼的下載，以及企業(yè)號api接口返回的錯誤碼。

一、關(guān)于加解密方案的詳細說明

1、術(shù)語及說明

開啟回調(diào)模式時，有以下術(shù)語需要了解：

1）msg_signature是簽名，用于驗證調(diào)用者的合法性

2）EncodingAESKey用于消息體的加密，長度固定為43個字符，從a-z, A-Z, 0-9共62個字符中選取，是AESKey的Base64編碼。解碼后即為32字節(jié)長的AESKey

3）AESKey=Base64_Decode(EncodingAESKey + “=”)，是AES算法的密鑰，長度為32字節(jié)。AES采用CBC模式，數(shù)據(jù)采用PKCS#7填充；IV初始向量大小為16字節(jié)，取AESKey前16字節(jié)。具體詳見：http://tools.ietf.org/html/rfc2315

4）msg為消息體明文，格式為XML

5）msg_encrypt = Base64_Encode( AES_Encrypt[random(16B) + msg_len(4B) + msg + $CorpID] )，是對明文消息msg加密處理后的Base64編碼

2、消息體簽名

為了驗證調(diào)用者的合法性，微信在回調(diào)url中增加了消息簽名，以參數(shù)msg_signature標識，企業(yè)需要驗證此參數(shù)的正確性后再解密。驗證步驟：

1）企業(yè)計算簽名：dev_msg_signature=sha1(sort(Token、timestamp、nonce、msg_encrypt))。sort的含義是將參數(shù)按照字母字典排序，然后從小到大拼接成一個字符串

2）比較dev_msg_signature和msg_signature是否相等，相等則表示驗證通過。

3、加解密方案說明

• 對明文msg加密的過程如下：

msg_encrypt = Base64_Encode( AES_Encrypt[random(16B) + msg_len(4B) + msg + $CorpID] )

AES加密的buf由16個字節(jié)的隨機字符串、4個字節(jié)的msg長度、明文msg和$CorpID組成。其中msg_len為msg的字節(jié)數(shù)，網(wǎng)絡(luò) 字節(jié)序；$CorpID為企業(yè)號的CorpID。經(jīng)AESKey加密后，再進行Base64編碼，即獲得密文msg_encrypt。

• 對應(yīng)于加密方案，解密方案如下：

1）對密文BASE64解碼：aes_msg=Base64_Decode(msg_encrypt)

2）使用AESKey做AES解密：rand_msg=AES_Decrypt(aes_msg)

3）驗證解密后$CorpID、msg_len

4）去掉rand_msg頭部的16個隨機字節(jié)，4個字節(jié)的msg_len,和尾部的$CorpID即為最終的消息體原文msg。

#p#

二、加解密庫下載和返回碼

1、加解密庫的返回碼

2、加解密庫下載及示例

• c++庫(點擊下載)

注意事項：

1）WXBizMsgCrypt.h聲明了WXBizMsgCrypt類，提供用戶接入企業(yè)微信的三個接口。WXBizMsgCrypt.cpp文件提供了三個接口的實現(xiàn)。Sample.cpp文件提供了如何使用這三個接口的示例。

2）WXBizMsgCrypt類封裝了VerifyURL, DecryptMsg, EncryptMsg三個接口，分別用于開發(fā)者驗證回調(diào)url，收到用戶回復消息的解密以及開發(fā)者回復消息的加密過程。使用方法可以參考Sample.cpp文件。

3）加解密協(xié)議請參考企業(yè)微信官方文檔。

4）加解密過程使用了開源的openssl和tinyxml2庫，請開發(fā)者自行安裝之后使用。

   *openssl的版本號是openssl-1.0.1h，http://www.openssl.org/

   *tinyxml2的版本號是tinyxml2-2.1.0，https://github.com/leethomason/tinyxml2

• python庫(點擊下載)

注意事項：

1）WXBizMsgCrypt.py文件封裝了WXBizMsgCrypt接口類，提供了用戶接入企業(yè)微信的三個接口，Sample.py文件提供了如何使用這三個接口的示例，ierror.py提供了錯誤碼。

2）WXBizMsgCrypt封裝了VerifyURL, DecryptMsg, EncryptMsg三個接口，分別用于開發(fā)者驗證回調(diào)url、接收消息的解密以及開發(fā)者回復消息的加密過程。使用方法可以參考Sample.py文件。

3）本代碼用到了pycrypto第三方庫，請開發(fā)者自行安裝此庫再使用。

• php庫(點擊下載)

注意事項：

1）WXBizMsgCrypt.php文件提供了WXBizMsgCrypt類的實現(xiàn)，是用戶接入企業(yè)微信的接口類。Sample.php提供了 示例以供開發(fā)者參考。errorCode.php, pkcs7Encoder.php, sha1.php, xmlparse.php文件是實現(xiàn)這個類的輔助類，開發(fā)者無須關(guān)心其具體實現(xiàn)。

2）WXBizMsgCrypt類封裝了VerifyURL, DecryptMsg, EncryptMsg三個接口，分別用于開發(fā)者驗證回調(diào)url、接收消息的解密以及開發(fā)者回復消息的加密過程。使用方法可以參考Sample.php文件。

• java庫(點擊下載)

注意事項：

1）com\qq\weixin\mp\aes目錄下是用戶需要用到的接入企業(yè)微信的接口，其中WXBizMsgCrypt.java文件提供的 WXBizMsgCrypt類封裝了用戶接入企業(yè)微信的三個接口，其它的類文件用戶用于實現(xiàn)加解密，用戶無須關(guān)心。sample.java文件提供了接口 的使用示例。

2）WXBizMsgCrypt封裝了VerifyURL, DecryptMsg, EncryptMsg三個接口，分別用于開發(fā)者驗證回調(diào)url、接收消息的解密以及開發(fā)者回復消息的加密過程。使用方法可以參考Sample.java文件。

3）請開發(fā)者使用jdk1.7以上的版本。針對org.apache.commons.codec.binary.Base64，需要導入jar包commons-codec-1.9（或comm ons-codec-1.8等其他版本），我們有提供，官方下載地址：

http://commons.apache.org/proper/commons-codec/download_codec.cgi

4）異常java.security.InvalidKeyException:illegal Key Size的解決方案：

在官方網(wǎng)站下載JCE無限制權(quán)限策略文件（JDK7的下載地址：

http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html

下載后解壓，可以看到local_policy.jar和US_export_policy.jar以及readme.txt。如果安裝了JRE， 將兩個jar文件放到%JRE_HOME% \lib\security目錄下覆蓋原來的文件，如果安裝了JDK，將兩個jar文件放到%JDK_HOME%\jre\lib\security目錄 下覆蓋原來文件。

• c#庫(點擊下載)

注意事項：

1）Cryptography.cs文件封裝了AES加解密過程，用戶無須關(guān)心具體實現(xiàn)。WXBizMsgCrypt.cs文件提供了用戶接入企業(yè)微信的三個接口，Sample.cs文件提供了如何使用這三個接口的示例。

2）WXBizMsgCrypt.cs封裝了VerifyURL, DecryptMsg, EncryptMsg三個接口，分別用于開發(fā)者驗證回調(diào)url、接收消息的解密以及開發(fā)者回復消息的加密過程。使用方法可以參考Sample.cs文件。

#p#

三、全局返回碼說明

企業(yè)號每次調(diào)用接口時，可能獲得正確或錯誤的返回碼，企業(yè)可以根據(jù)返回碼信息調(diào)試接口，排查錯誤。

全局返回碼說明如下：