回答

置顶【安全问题】公众号事件通知的SHA1不安全，消息先加密再签名不太合理，是否有改进计划？精选热门

2020-09-081572浏览问题模块：其他开发相关的问题

https://developers.weixin.qq.com/doc/oplatform/Third-party_Platforms/Message_Encryption/Message_encryption_and_decryption.html

微信开放平台官方文档中提供的消息加解密说明，描述了开发者应该如何接收并验证公众号的事件推送消息。

其采取的签名算法SHA1不够安全，并且公众号的消息是先加密再签名也不合理，请问是否会改进？

2 个回答

荷尖蜻蜓
2020-09-10
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
签名是为了防篡改，没看出有什么不合理的地方。
签名验证通过了，说明数据是合法的，再进行后续步骤。如果签名这一步都没能验证通过，后面所有步骤都不用考虑了，这很合理呀。
签名是需要密钥的，如果别人伪造了数据部分，他不知道你的签名密钥，也无法生成合法的签名，也是无法通过签名验证这一步的。
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2020-09-10
有用 1
回复 2
- 恭喜发财
  2021-02-19
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  现在还是这样没有改进吗？SHA1确实是不安全的啊，很多公司都不准用了。
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2021-02-19
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
- 青红造了个白
  2021-06-10
  加粗
  标红
  插入代码
  插入链接
  插入图片
  上传视频
  请登录后发表内容
  关闭
  新增或编辑超链接
  链接地址
  确认取消
  关闭
  插入视频
  视频链接
  确认取消
  发表
  我们期望是先签名再加密，先加密再签名不能保证加密的是已被篡改的
  你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
  待楼主反馈
  2021-06-10
  赞
  回复
  关闭
  请选择投诉理由
  广告内容
  违法违规
  恶意灌水内容
  其他
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他
恭喜发财
2021-02-19
加粗
标红
插入代码
插入链接
插入图片
上传视频
请登录后发表内容
关闭
新增或编辑超链接
链接地址
确认取消
关闭
插入视频
视频链接
确认取消
发表
现在还是这样没有改进吗？SHA1确实是不安全的啊，很多公司都不准用了。
你好，麻烦通过点击下方“反馈信息”按钮，提供出现问题的。
待楼主反馈
2021-02-19
有用
回复
关闭
请选择投诉理由
广告内容
违法违规
恶意灌水内容
其他

请登录后发表内容

置顶【安全问题】公众号事件通知的SHA1不安全，消息先加密再签名不太合理，是否有改进计划？精选热门

请选择投诉理由

删除当前帖子

删除后帖子内容及评论将一并被删除，且不可恢复。

关注“微信开放社区”公众号

反馈

新增或编辑超链接

插入视频

新增或编辑超链接

插入视频

请选择投诉理由

新增或编辑超链接

插入视频

请选择投诉理由

请选择投诉理由

新增或编辑超链接

插入视频

请选择投诉理由

新增或编辑超链接

插入视频

关注“微信开放社区”公众号