问题
需求是每周在企微的应用号上发送周报,周报中会带着进入系统的链接,点击进入可以查看详情。系统需要登录鉴权,因此需要在内置浏览器打开便于自动认证。
但是,在企微应用号发送的链接,手机上可以正常使用企微内置浏览器打开,PC端却会在系统默认浏览器打开,而不是企微内置浏览器打开,导致oauth认证失败。
注意:企微群聊机器人发送的链接可以正常打开,无此类问题,该问题仅出现在企微应用号上。
原因
这个应该是企微客户端的问题,类似问题在企微的讨论区出现了很多,客服说各个客户端表现不一致是设计如此,至今未做修改(2024-06)。
问题节选:
windows客户端打开推送消息中的链接时无法使用内置浏览器?
方案
看似无解的问题,在某个大哥的回答中出现了转机,企微客户端会在链接跳转时判断域名,如果是 open.weixin.qq.com
的oauth2.0链接,就会使用内置浏览器打开。
我们的业务逻辑一般是:
这里第一步会访问我们的后台,生成oauth认证地址,再301重定向。
那么,如果我们提前生成oauth地址https://open.weixin.qq.com/connect/oauth2/authorize?appid=xxx&....
,这里第一步直接就是企微认证,则可以在内置浏览器中打开。
该方案仅windows 客户端验证有效,其他客户端暂不清楚。
方案漏洞
该方案还存在一个问题,暂时没有好的解决方案。
我们在生成oauth地址时,为了安全,可以携带一个state参数,企微认证成功后会把state参数原样返回,便于我们校验请求是否半路被篡改。
在原有逻辑中,会直接随机生成一个state参数,传递过去,由于认证过程很快,state很快就可以失效了。
改成新的方式后,state参数需要改成有效期更长的或者是永久有效。,存在一些安全问题。
虽然存在这个小问题,但是总体在企微未做修改之前,也只能这么采用了。