关于企业微信自建应用安全性升级的说明

1.1 问题描述

企业微信官方通知：自建及代开发应用安全性升级

时间：企业微信将针对自建及代开发应用进行安全性升级。升级于 2022 年 6 月 20 日开始灰度，2022 年 6 月 28 日全量发布。

1.2 问题影响

企业微信发布的 自建及代开发应用安全性升级 公告中有3点说明，但是对我们微信集成插件（属于企业微信自建应用）有影响的只有前两点，且 只有新创建的自建应用 才受到影响（历史已创建的不受影响）。

2.1 通知说明

新创建的自建应用需要配置企业可信IP，才能调用企业微信的接口。

2.2 产生的影响

对于新创建的自建应用，如果没有配置企业可信IP，在企业微信集成插件上会添加不上应用。

错误码为：11205017，如下图所示：

接口报错：60020，访问IP不在白名单之中。

2.3 解决方案

登录企业微信后台，选择「应用管理」，选择对应的应用，设置「企业可信IP」。

2.3.1 获取企业可信IP

1）已配置代理服务器：代理服务器的 IP

2）未配置代理服务器：报表服务器的 IP

如何通过域名找到 IP ?

Windows 环境：

• 远程客户的「报表环境所在服务器」，在浏览器中（推荐使用 Chrome）输入以下地址：

https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=微信企业ID&corpsecret=微信应用secret

• 获取到 accesstoken 后，访问地址：

https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=刚刚获取的token

会看到 errcode 为 60020 ，后面的 IP 即为需要添加的工程可信 IP。

Linux 环境：

若客户服务器为 Linux ，可以 curl 一下，URL 都一样。

注：linux curl 时的 & 符号需要加 \ 转义。

2.3.2 配置企业可信IP

1）配置企业可信IP前，请先 设置可信域名 或 设置接收消息服务器URL 。如下图所示：

2）设置可信域名可参考：微信集成后扫码控件无法使用 。

3）如果客户遇到添加 IP，提示是第三方服务商IP（实际不是），需要找企业微信客服验证一下企业可信IP。如下图所示：

3.1 通知说明

除通讯录同步和历史已创建的自建应用外，通过客户联系、微信客服、打卡、审批等企业微信基础 secret 访问成员信息相关接口时，将不再返回员工个人敏感信息，包括：头像、性别、手机号、邮箱、企业邮箱、地址和员工企业微信二维码。

3.2 产生的影响

对于新创建的自建应用，访问单点链接，会单点失败，也就是出现登录界面。

原因：企业微信在 userId 换取用户信息的接口中，不再返回手机号码和邮箱信息，无法通过手机号或邮箱匹配完成单点登录。此外，通讯录不再显示邮箱信息。

3.3 解决方案

更新最新版微信管理插件：微信管理

• 11.0版本号：11.0.66.2

• 10.0版本号：10.5.15.2

3.4 最终效果

新创建的自建应用，成员敏感信息需要成员在登录应用时自主授权。如下图所示：

2022-06-20 之后新建的应用，由于微信接口不返回手机号和邮箱信息，同步通讯录的地方不能同步手机号和邮箱。

单点功能：微信单点的时候可以授权手机号，仍然可以单点登录。手机号匹配，可能导致定时调度不能推送微信。

总结：新建的应用不推荐使用手机号或邮箱匹配的功能，可以使用微信号匹配等其他匹配方式的功能。老的应用不受影响。