防止活动上线时 微信openid 被伪造的解决办法

背景

前不久上线了一个 campaign 项目，一个 h5，后端为php，用户可以在微信中通过网页授权的方式登录，然后用微信 openid 作为唯一标识符进行签到和抽奖的操作。

结果后期出现了很多脏数据来冒领抽奖的操作，这些脏数据的出现是因为 openid 被伪造从而顺利入库。

方法

解决问题的思路就是不让 openid 伪造，有两种办法：

方法一、每次获取 openid 参数时，调用微信公众平台的“获取用户基本信息”的接口

方法二、采用 openid 加密的方法

结论：方法一这个接口官方有调用频率的限制，所以我们采用方法二。

改造后的业务流程图

这里需要改造两块代码：

1、微信授权接口
2、campagin api接口

采用对称加密

如上图所示：

1、加密的对策是：微信授权的时候，后端把回调给前端的 openid 进行加密；调用 api 的时候，前端再把授权得到的加密后的 openid 传给后端，后端先做解密操作，然后再进行剩下的业务逻辑，如果解密操作失败，则认定openid非法，拒绝此次请求
2、因为 campaign 服务器同时负责加密和解密，可采用对称加密算法，这里我们选用更先进的 AES 加密算法

加密工具函数的代码如下：

function encrypt($string, $operation, $key = '')
{
    $key = md5($key);
    $key_length = strlen($key);
    $string = $operation == 'D' ? base64_decode($string) : substr(md5($string . $key), 0, 8) . $string;
    $string_length = strlen($string);
    $rndkey = $box = array();
    $result = '';
    for ($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($key[$i % $key_length]);
        $box[$i] = $i;
    }
    for ($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }
    for ($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }
    if ($operation == 'D') {
        if (substr($result, 0, 8) == substr(md5(substr($result, 8) . $key), 0, 8)) {
            return substr($result, 8);
        } else {
            return '';
        }
    } else {
        return str_replace('=', '', base64_encode($result));
    }
}

function encrypt_string($str)
{
    $key = 'test'; //这里的$key是密钥，请自行定义
    return encrypt($str, 'E', $key); //加密
}

function decode_string($str)
{
    $key = 'test'; //这里的$key是密钥，请自行定义
    return encrypt($str, 'D', $key); //解密
}

调用：

$openid_param = encrypt_string($openid_param);

$openid_param = decode_string($openid_param);
//如果$openid_param === false，则openid非法！