SessionKey

## 定义

SessionKey 是由 微信服务器（WeChat Server） 生成的、用于标识 “小程序用户 - 开发者服务器” 之间临时会话的对称加密密钥。

核心定位是：

- 作为 “中间凭证”，连接微信服务器的用户身份认证与开发者服务器的业务逻辑；
- 仅用于开发者服务器端，不可在小程序客户端（如 JS 代码）中存储或传输；
- 生命周期与用户登录态绑定，具有临时性和唯一性，重新登录会生成新的 SessionKey。

## 两个核心作用

> 解密用户敏感数据

小程序通过 wx.getUserProfile()、wx.getPhoneNumber() 等接口获取的用户信息，分为 “非敏感数据” 和 “敏感数据”：

- 非敏感数据：如用户昵称、头像（默认分辨率）、性别等，可直接通过接口返回的 userInfo 字段获取；
- 敏感数据：如用户手机号、UnionID（跨公众号 / 小程序的统一用户标识）、高清头像 URL 等，会被微信服务器用 AES-128-CBC 算法加密，生成 encryptedData（加密数据）和 iv（初始向量）。

开发者必须在服务器端使用 SessionKey + iv，才能解密 encryptedData，得到原始的敏感数据。

那么问题来了：攻击者只要拿到encryptedData、iv、SessionKey，就可以解密用户的手机号。

```
encryptedData（加密手机号） + iv（初始向量） + SessionKey（密钥） → 解密 → 138****1234（原始手机号）
```

> 验证登录态有效性

小程序的登录态并非由 SessionKey 直接维持，而是开发者服务器基于 SessionKey 生成的 “自定义登录态”（如 sessionId）。但 SessionKey 是验证该登录态是否有效的核心依据：

- 当用户后续发起请求（如支付、个人中心操作）时，小程序会携带开发者服务器生成的 sessionId；
- 开发者服务器可通过 “微信登录态校验接口”（如 wx.checkSession 客户端预校验，或服务器端调用微信接口），结合存储的 SessionKey 验证该 sessionId 是否有效（如未过期、未被篡改）；
- 若 SessionKey 过期或失效，开发者需引导用户重新登录（调用 wx.login()）以获取新的 SessionKey。

## 任意账户登录

![image-20251010165913599](https://oss.maolin101.com/image-20251010165913599.png-101.webp)

解密之后，可以换手机号再进行加密，将原来的data进行替换，如果登录成功，则为任意账户登录。

![image-20251010170345405](https://oss.maolin101.com/image-20251010170345405.png-101.webp)