1. 概述编辑
1.1 问题描述
企业微信官方通知:自建及代开发应用安全性升级
时间:企业微信将针对自建及代开发应用进行安全性升级。升级于 2022 年 6 月 20 日开始灰度,2022 年 6 月 28 日全量发布。
1.2 问题影响
企业微信发布的 自建及代开发应用安全性升级 公告中有3点说明,但是对我们微信集成插件(属于企业微信自建应用)有影响的只有前两点,且 只有新创建的自建应用 才受到影响(历史已创建的不受影响)。
2. 通讯录同步和自建应用需配置企业可信IP编辑
2.1 通知说明
新创建的自建应用需要配置企业可信IP,才能调用企业微信的接口。
2.2 产生的影响
对于新创建的自建应用,如果没有配置企业可信IP,在企业微信集成插件上会添加不上应用。
错误码为:11205017,如下图所示:
接口报错:60020,访问IP不在白名单之中。
2.3 解决方案
登录企业微信后台,选择「应用管理」,选择对应的应用,设置「企业可信IP」。
2.3.1 获取企业可信IP
1)已配置代理服务器:代理服务器的 IP
2)未配置代理服务器:报表服务器的 IP
如何通过域名找到 IP ?
Windows 环境:
远程客户的「报表环境所在服务器」,在浏览器中(推荐使用 Chrome)输入以下地址:
https://qyapi.weixin.qq.com/cgi-bin/gettoken?corpid=微信企业ID&corpsecret=微信应用secret
获取到 accesstoken 后,访问地址:
https://qyapi.weixin.qq.com/cgi-bin/department/list?access_token=刚刚获取的token
会看到 errcode 为 60020 ,后面的 IP 即为需要添加的工程可信 IP。
Linux 环境:
若客户服务器为 Linux ,可以 curl 一下,URL 都一样。
注:linux curl 时的 & 符号需要加 \ 转义。
2.3.2 配置企业可信IP
1)配置企业可信IP前,请先 设置可信域名 或 设置接收消息服务器URL 。如下图所示:
2)设置可信域名时,「可作为应用OAuth2.0网页授权功能的回调域名」和「可调用JS-SDK、跳转小程序的可信域名」 两处都需要填写,否则会出现调用获取定位或者拍照的 api 失败的情况。如下图所示:
3)如果客户遇到添加 IP,提示是第三方服务商IP(实际不是),需要找企业微信客服验证一下企业可信IP。如下图所示:
3. 获取成员敏感信息调整编辑
3.1 通知说明
除通讯录同步和历史已创建的自建应用外,通过客户联系、微信客服、打卡、审批等企业微信基础 secret 访问成员信息相关接口时,将不再返回员工个人敏感信息,包括:头像、性别、手机号、邮箱、企业邮箱、地址和员工企业微信二维码。
3.2 产生的影响
对于新创建的自建应用,访问单点链接,会单点失败,也就是出现登录界面。
原因:企业微信在 userId 换取用户信息的接口中,不再返回手机号码和邮箱信息,无法通过手机号或邮箱匹配完成单点登录。此外,通讯录不再显示邮箱信息。
3.3 解决方案
更新最新版微信管理插件:微信管理
11.0版本号:11.0.66.2
10.0版本号:10.5.15.2
3.4 最终效果
新创建的自建应用,成员敏感信息需要成员在登录应用时自主授权。如下图所示:
