关于企业微信自建应用安全性升级的说明

1.1 问题描述

企业微信官方通知：自建及代开发应用安全性升级

时间：企业微信将针对自建及代开发应用进行安全性升级。升级于 2022 年 6 月 20 日开始灰度，2022 年 6 月 28 日全量发布。

1.2 问题影响

企业微信发布的 自建及代开发应用安全性升级 公告中有3点说明，但是对我们微信集成插件（属于企业微信自建应用）有影响的只有前两点，且 只有新创建的自建应用 才受到影响（历史已创建的不受影响）。

通知说明：新创建的自建应用需要配置企业可信IP，才能调用企业微信的接口。

产生的影响：

对于新创建的自建应用，如果没有配置企业可信IP，在企业微信集成插件上会添加不上应用。错误码为：11205017，如下图所示：

接口报错：60020，访问IP不在白名单之中。

解决方案：

登录企业微信后台，选择「应用管理」，选择对应的应用，设置「企业可信IP」。

如果客户遇到添加IP，提示是第三方服务商IP（实际不是），需要找企业微信客服验证一下企业可信IP，如下图所示：

获取企业可信IP方式如下：

• 已配置代理服务器：代理服务器的IP

• 未配置代理服务器：报表服务器的IP

如何通过域名找到 IP ?

Windows 环境：

1）远程客户的「报表环境所在服务器」，在浏览器中（推荐使用Chrome）输入以下地址：

https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=微信企业ID&corpsecret=微信应用secret

2）获取到 accesstoken 后，访问地址：

https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=刚刚获取的token

，会看到 errcode 为 60020 ，后面的 IP 即为需要添加的工程可信 IP。

Linux 环境：若客户服务器为 Linux ，可以 curl 一下，URL 都一样。

注：linux curl 时的 & 符号需要加 \ 转义。

通知说明：

除通讯录同步和历史已创建的自建应用外，通过客户联系、微信客服、打卡、审批等企业微信基础secret访问成员信息相关接口时，将不再返回员工个人敏感信息，包括：头像、性别、手机号、邮箱、企业邮箱、地址和员工企业微信二维码。

产生的影响：

对于新创建的自建应用，访问单点链接，会单点失败，也就是出现登录界面。

原因：企业微信在userId换取用户信息的接口中，不返回手机号码了。无法通过手机号匹配完成单点登录了。

解决方案：更新最新版微信管理插件：微信管理

• 11.0版本号：11.0.66.2

• 10.0版本号：10.5.15.2

最终效果：

新创建的自建应用，成员敏感信息需要成员在登录应用时自主授权。如下图所示：

2022-06-20之后新建的应用，由于微信接口不返回手机号，同步通讯录的地方不能同步手机号。

单点功能：微信单点的时候可以授权手机号，仍然可以单点登录。手机号匹配，可能导致定时调度不能推送微信。

总结：新建的应用不推荐使用手机号匹配的功能，可以使用微信号匹配等其他匹配方式的功能。老的应用不受影响。