收藏
回答

【安全问题】公众号事件通知的SHA1不安全,消息先加密再签名不太合理,是否有改进计划?

https://developers.weixin.qq.com/doc/oplatform/Third-party_Platforms/Message_Encryption/Message_encryption_and_decryption.html

微信开放平台官方文档中提供的消息加解密说明,描述了开发者应该如何接收并验证公众号的事件推送消息。

其采取的签名算法SHA1不够安全,并且公众号的消息是先加密再签名也不合理,请问是否会改进?


回答关注问题邀请回答
收藏

2 个回答

  • 荷尖蜻蜓
    荷尖蜻蜓
    2020-09-10

    签名是为了防篡改,没看出有什么不合理的地方。

    签名验证通过了,说明数据是合法的,再进行后续步骤。如果签名这一步都没能验证通过,后面所有步骤都不用考虑了,这很合理呀。

    签名是需要密钥的,如果别人伪造了数据部分,他不知道你的签名密钥,也无法生成合法的签名,也是无法通过签名验证这一步的。

    2020-09-10
    有用 1
    回复 2
    • 恭喜又发财
      恭喜又发财
      02-19
      现在还是这样没有改进吗?SHA1确实是不安全的啊,很多公司都不准用了。
      02-19
      回复
    • 青红造了个白
      青红造了个白
      06-10
      我们期望是先签名再加密, 先加密再签名不能保证加密的是已被篡改的
      06-10
      回复
  • 恭喜又发财
    恭喜又发财
    02-19

    现在还是这样没有改进吗?SHA1确实是不安全的啊,很多公司都不准用了。

    02-19
    有用
    回复
登录 后发表内容
问题标签