微信公眾號(hào)開發(fā)中，微信平臺(tái)向第三方服務(wù)器轉(zhuǎn)發(fā)的消息，在處理之前，是應(yīng)該進(jìn)行校驗(yàn)的。這一點(diǎn)，稍有安全常識(shí)的開發(fā)者都應(yīng)該能意識(shí)到。然而，微信公眾平臺(tái)的接入指南中，只提到了一開始驗(yàn)證服務(wù)器時(shí)對(duì) GET 請(qǐng)求的驗(yàn)證，而對(duì) POST 請(qǐng)求的驗(yàn)證卻只字不提，導(dǎo)致網(wǎng)上很多微信公眾號(hào)開發(fā)的入門教程都忽略了這一點(diǎn)。微信平臺(tái)向第三方服務(wù)器轉(zhuǎn)發(fā)用戶消息，都是以 POST 請(qǐng)求的方式進(jìn)行的，如果不進(jìn)行校驗(yàn)，可能被偽造（其實(shí)根本都不需要偽造好么）成微信平臺(tái)的消息攻擊。

微信公眾平臺(tái)的接入指南提到，GET 請(qǐng)求的校驗(yàn)，需要 token、timestamp、nonce 和 signature，若

signature == sha1(sort(token, timestamp, nonce)) #這是偽代碼

即為校驗(yàn)成功。其中 token 是開發(fā)者自己配置的，timestamp、nonce 和 signature 是 URL 中攜帶過來的。校驗(yàn)算法可以自己實(shí)現(xiàn)，也可以用網(wǎng)上現(xiàn)成的代碼，如 wechat_sdk 的 check_signature() 函數(shù)。Django 開發(fā)中，從 GET 請(qǐng)求的 URL 中獲取后三個(gè)參數(shù)，可以用如下方法（以 signature 為例）：

signature = request.GET.get('signature', None)

很多教程講到這里就結(jié)束了，并不提 POST 請(qǐng)求如何驗(yàn)證，或者用了很繁瑣的方法（如 WSGI）去提取 URL 中的參數(shù)。其實(shí)大可不必，POST 請(qǐng)求跟 GET 請(qǐng)求的驗(yàn)證方法完全一樣，提取參數(shù)也是使用同樣的語(yǔ)句：

signature = request.GET.get('signature', None)

注意了，雖然這是一條 POST 報(bào)文，但要從 URL 中提取 query string，還是得用 GET。就是這樣。但是千萬(wàn)記得，一定要進(jìn)行驗(yàn)證。