可以为二级域名。授权回调域名配置规范为全域名并且不带http,比如需要网页授权的域名为:www.qq.com,配置以后此域名下面的页面http://www.qq.com/music.html
、 http://www.qq.com/login.html 都可以进行oauth2.0鉴权。但http://pay.qq.com 、 http://music.qq.com 、 http://qq.com无法进行oauth2.0鉴权,关于授权在上一节已经讲过。
(2),关于js-sdkj接口,首先要在--公众号设置--功能设置---js接口安全域名(注意:可以输入3个,一月只能改三次,此域名必须是备案过的)。
举例扫一扫接口,要有js-sdk的ticket票据,此票据通过access-token获得,并且有失效时间7200秒,首先要用 appid和appsecret获得access-token ,
然后用token获得jsapi_ticket,
<a target="_blank" href="https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=access_token&type=jsapi">https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=access_token&type=jsapi</a>
最后通过算法生成签名,生成签名要用到四个参数 noncestr(随机字符串,注意在js配置文件中,s要大写),timestap(时间戳),requesturl(请求页面的url),有效的jsapi_ticket,动态页面,比如
通过aaa.do(aaa.do用于生成签名),跳转到aaa.jsp,aaa.jsp中有到每秒二维码的按钮。此时在aaad.do中传入的url就是当前aaa.do的全路径(从http开始,包括url参数,端口号,不包括最后的#,如http://*****/aaa.do?dd=xxx,当是80端口时,在生成签名时的url写端口号,因为当80端口时,aaa.jsp输出路径是不带端口号的,可以在页面上alert(location.href.split('#')[0])输出请求本页面的url和生成签名的url比较一下)
如果是静态页面就是当前页面的url
生成签名之前必须先了解一下jsapi_ticket,jsapi_ticket是公众号用于调用微信js接口的临时票据。正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取。由于获取jsapi_ticket的api调用次数非常有限,频繁刷新jsapi_ticket会导致api调用受限,影响自身业务,开发者必须在自己的服务全局缓存jsapi_ticket 。
成功返回如下json:
获得jsapi_ticket之后,就可以生成js-sdk权限验证的签名了。
签名算法
签名生成规则如下:参与签名的字段包括noncestr(随机字符串), 有效的jsapi_ticket, timestamp(时间戳), url(当前网页的url,不包含#及其后面部分) 。对所有待签名参数按照字段名的ascii 码从小到大排序(字典序)后,使用url键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1。这里需要注意的是所有参数名均为小写字符。对string1作sha1加密,字段名和字段值都采用原始值,不进行url
转义。
即signature=sha1(string1)。 示例:
noncestr=wm3wzytpz0wzccnw
jsapi_ticket=sm4aovdwfpe4dxkxges8vmcpggvi4c3vm0p37wvucfvkvay_90u5h9nbslyy3-sl-hhtdfl2fzfy1aochkp7qg
timestamp=1414587457
步骤1. 对所有待签名参数按照字段名的ascii 码从小到大排序(字典序)后,使用url键值对的格式(即key1=value1&key2=value2…)拼接成字符串string1:
步骤2. 对string1进行sha1签名,得到signature:
注意事项
签名用的noncestr和timestamp必须与wx.config中的noncestr和timestamp相同。
签名用的url必须是调用js接口页面的完整url。
出于安全考虑,开发者必须在服务器端实现签名的逻辑。
![Javascript构建Bingo卡片游戏[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)