如何验证消息是否来自微信公众平台服务器

不是 head 里面是在 URL 参数

放url后面 query参数

get 的方式。

开发者提交信息后，微信服务器将发送GET请求到填写的服务器地址URL上，GET请求携带四个参数：
参数 描述
signature 微信加密签名，signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。
timestamp 时间戳
nonce 随机数
echostr 随机字符串
http://mp.weixin.qq.com/wiki/17/2d4265491f12608cd170a95559800f2d.html
你没有仔细看

@alex321 GET方式？我是接收来自用户的消息

@kslr 谢谢，接入验证这里是GET请求这个我知道，但是我问的是接收来自用户消息的时候

@lvxudong 用户消息是POST过来的XML

@lvxudong 你在之前已经配置的时候已经连接成功，只要token不泄露就没啥问题吧，如果非要搞，恐怕只能判断微信服务器IP了。
http://mp.weixin.qq.com/wiki/0/2ad4b6bfd29f30f71d39616c2a0fcedc.html
{"ip_list":["101.226.62.77","101.226.62.78","101.226.62.79","101.226.62.80","101.226.62.81","101.226.62.82","101.226.62.83","101.226.62.84","101.226.62.85","101.226.62.86","101.226.103.59","101.226.103.60","101.226.103.61","101.226.103.62","101.226.103.63","101.226.103.69","101.226.103.70","101.226.103.71","101.226.103.72","101.226.103.73","140.207.54.73","140.207.54.74","140.207.54.75","140.207.54.76","140.207.54.77","140.207.54.78","140.207.54.79","140.207.54.80"]}

@kslr 要这样搞，太麻烦了把

@lvxudong 用户发送消息经过微信服务器中转时，微信向你的 api 发起请求的时候都会在 url 上添加 signature、timestamp、nonce 这几个参数以 get 方式传递给你，你可以通过它们校验微信消息是否合法地来自微信服务器。而用户发送的内容会由微信服务器以 xml 的格式以 post 的方式传递给你。

@alex321 谢谢，查看一下微信请求的日志，终于了解了。
纠正你一下，
>用户发送消息经过微信服务器中转时，微信向你的 api 发起请求的时候都会在 url 上添加 signature、timestamp、nonce 这几个参数以 get 方式传递给你

这里用户发送的消息经过微信服务器中转时，微信服务器是用 POST 方式把XML传给我的，不是GET 额

签名参数 get
消息体(xml) post

@lvxudong 这位童鞋，你很需要静下心来看文字。就像上学的时候做题目一样，审题。

看来是没法绕过了？

@alex321 @lvxudong 你们都说错了
用户发送消息经过微信服务器中转时，微信向你的 api 发起请求的时候都会在 url 上添加 signature、timestamp、nonce 这三个参数，所以处理微信的 API 需要有个入口方法来接收这三个参数并验证是否能正常解码，再执行正常的请求回应。

@alex321 ，@zieglar 这位同学说的对的，
微信过来的请求，不论GET还是POST，都会在你的URL后面带query参数
(之前没遇到过在 POST 的URL加query参数情况，一直以为只有GET才能在URL后面带query)