开放数据校验与解密

签名校验以及数据加解密涉及用户的会话密钥 session_key。开发者应该事先通过 qq.login 登录流程获取会话密钥 session_key 并保存在服务器。为了数据不被篡改，开发者不应该把 session_key 传到小程序客户端等服务器外的环境。

为了确保开放接口返回用户数据的安全性，QQ会对明文数据进行签名。开发者可以根据业务需要对数据包进行签名校验，确保数据的完整性。

• 通过调用接口（如 ）获取数据时，接口会同时返回 rawData、signature，其中 signature = sha1( rawData + session_key )

用户的 session-key：

用于签名的字符串为：

使用sha1得到的结果为

• 对称解密使用的算法为 AES-128-CBC，数据采用PKCS#7填充。
• 对称解密的目标密文为 Base64_Decode(encryptedData)。
• 对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
• 对称解密算法初始向量 为Base64_Decode(iv)，其中iv由数据接口返回。另外，为了应用能校验数据的有效性，会在敏感数据加上数据水印( watermark )

watermark参数说明：

如接口 qq.getUserInfo 敏感数据当中的 watermark：

注：

• 调用时，用户的 session_key 可能会被更新而致使旧 session_key 失效（刷新机制存在最短周期，如果同一个用户短时间内多次调用 qq.login，并非每次调用都导致 session_key 刷新）。开发者应该在明确需要重新登录时才调用 ，及时通过 code2Session 接口更新服务器存储的 session_key。
• QQ不会把 session_key 的有效期告知开发者。我们会根据用户使用小程序的行为对 session_key 进行续期。用户越频繁使用小程序，session_key 有效期越长。
• 开发者在 session_key 失效时，可以通过重新执行登录流程获取有效的 session_key。使用接口 可以校验 session_key 是否有效，从而避免小程序反复执行登录流程。
• 当开发者在实现自定义登录态时，可以考虑以 session_key 有效期作为自身登录态有效期，也可以实现自定义的时效性策略。