微信小程序之用户数据解密

经常看到有点的小伙伴在群里问小程序用户数据解密流程，所以打扒行算写一篇关于小程序用户敏感数据解密教程；

加密过程微信服务器完成，解密过程在小程序和自身服务器完成，即由 encryptData 得到如下数据:

准备知识：

以上3点对于理解解密流程非常重要 。

根据官方文档，我梳理了大致的解密流程，如下：

重点在6、7、8三个环节。

AES解密三个参数：

服务端解密流程：

下面结合小程序实例说明解密流程：

最后的效果如下:

如果你的小程序没有绑定微信开放平台，解密的数据中不包含unionid参数

小程序绑定微信开放平台连接

从解密的数据看，算得上敏感的数据只有appid；个人觉得openid不是敏感数据，每个用户针对每个公众号会产生一个安全的openid；openid只有在appid的作用域下可用。除非你的appid也泄露了。

那么可以从解密数据得到appid，微信小程序团队是何用意呢？还是前面那句话，openid脱离了appid就什么都不是，openid和appid一起为枯消了方便小程序开发者做到不同小程序应用之间用户区分和隔离，同时能够将微信用户体系与第三方业务体系结合。没此知

所以我认为敏感数据解密的主要用处不是解密后回传给客户端，而是在服务端将微信用户信息融入到自身业务当中。

（说明：appid是小程序的身份z号码，是微信公众平台上的小程序ID，有了它，微信客户端才能确定你的小程序“身份”，并使用微信提供的高级接口。至于appid有什么用，appID就像门牌，AppSecret就像钥匙。AppID可以公开，但是AppSecret必须保密。而且微信官方文档反复强调，AppSecret的安全级别很高，也就是说如果泄露出去安全风险很大，要小心保管。你可以重新生成AppSecret，但是切记重新生成AppSecret前，跟你的程序员或技术外包服务碧衡商协调好，程序里如果有用到AppSecret的地方，要同步修改，否则程序会报错。）

（1）需要用户触发跳转，从 2.3.0 版本开始，若慎慧改用户未点击小程序页面任意位置，则开发者将无法调用此接口自动跳转至其他小程序。

（2）需要用户确认跳转，从 2.3.0 版本开始，在跳转至其他小程序前，将统一增加d窗，询问是否跳转，用户确认后才可以跳转其他小程序。如果用户点击取消，则回调 fail cancel。

（3）无需声明跳转名单，不限跳转数量 （众测中） ，从2020年4月24日起，使用跳转其他小程序功能将无需在全局配置中声明跳转名单，调用此接口时将不再校验所跳转的 AppID 是宽判否在 navigateToMiniProgramAppIdList 中。

从2020年4月24日起，跳转其他小程序将不再受数量限制，使用此功能时请注意遵守运营规范。

3，关于调试

在开发者工具上调用此 API 并不会真实的跳转到另外的小程序，但是开发者工具会校验本次调用跳转是否成功。

开发者工具上支持被跳转的小程序处理接收参数的调试。

4，实例

信息来源微信小程序开发文档

》小程序跳转 wx.navigateToMiniProgram()

》小程序调试支持

---