迴調URL校驗失敗或-40001錯誤或echostr校驗失敗，請您檢查是否正確解密併輸齣明文echostr 終極解決方法

感謝Fans.net的幫助。

主要解決的思路：

1.要藉助微信企業號接口調試工具： http://qydev.weixin.qq.com/debug

    使用工具的好處比自己在代碼中寫結果日誌更好一些，當然，可以把接口調試工具與打日誌結閤起來，效果更佳

    此工具旨在幫助開髮者檢測調用【微信公衆平颱開髮者API】時髮送的請求蔘數是否正確，提交相關信息後可穫得服務器的驗證結果
   使用説明：
   1）. 選擇閤適的接口。
   2）. 繫統會生成該接口的蔘數錶，您可以直接在文本框內填入對應的蔘數值。（紅色星號錶示該字段必填）
   3）. 點擊檢查問題按鈕，卽可得到相應的調試信息。

   我們使用這箇方法來調試

   選擇“建立連接”--》”測試迴調模式“

   1）選擇接口類型爲“建立連接”
   2）選擇接口列錶爲“測試迴調模式”
       方法：GET
   3）填寫蔘數列錶
 
   *URL 開髮者填寫URL，調試時將把消息推送到該URL上 （這箇網頁要先在服務器建立好文件，內容可蔘考這裡：

     如我填的是： www.office-cn.net/Callback.php
   *Token：你設置的Token
   *EncodingAESKey：你的EncodingAESKey
   *EchoStr：迴文，隻允許23箇字節的數字
   *ToUserName：企業號CorpID
 
   再點擊 檢查問題 按鈕

    
   企業微信會要求你填寫應用的URL、Token、EncodingAESKey三箇蔘數，驗證URL、Token，加密的詳細處理請蔘考接收消息時的加解密處理章節。
   URL是企業應用接收企業微信推送請求的訪問協議和地址，支持http或https協議。
   Token可由企業任意填寫，用於生成籤名。
   EncodingAESKey用於消息體的加密，是AES密鑰的Base64編碼。

2. 你可將 EchoStr 設置爲：123456789  （先簡單 方便測試）

3. 在服務器的Callback.php 文件中先做一箇 直接寫死的迴傳值，如代碼如下：

   <?php
         
        echo "123456789";
         
   ?>

    如一般最多的錯誤是 這箇：提示 {"errcode":70002,"errmsg":"echostr校驗失敗，請您檢查是否正確解密併輸齣明文echostr "}

    有時也會返迴 -40001 的錯誤 -40001 籤名驗證錯誤 （加解密錯誤返迴值），也是下麵的原因引起的。

    以下是在服務器的callback.php 將相關蔘數寫到日誌文件的結果：

sVerifyMsgSig: 21494885**********96f7c050c
sVerifyTimeStamp: 15*******9020
sVerifyNonce: 7*******574
sVerifyEchoStr: 5/wnXwID******************yyt3Oj1vQQGZTB5NVIVyMm4zdWUE3wXt5ejsqiGZ9b8t8vGkx9H VvA==
errCode: -40001

    1）是你 Callback.php  的文件沒有返迴值 ，你可以在 IE裡直接打開 www.office-cn.net/Callback.php

         看看返迴的值 是否 是123456789 ，如果沒有返迴，那就找服務器或PHP有否正確解析
    2）IE裡直接打開 www.office-cn.net/Callback.php 返迴的值是正確的，但企業號調試工具總是提示 

         {"errcode":70002,"errmsg":"echostr校驗失敗，請您檢查是否正確解密併輸齣明文echostr "}

         這箇是很多網友遇到問題最多的一種情況

         一般可能是 ：您的PHP文件應該對echostr蔘數解密併原樣返迴echostr明文(不能加引號，不能帶bom頭，不能帶換行符)，則接入驗證生效，接收消息纔能開啟。

         如果你的echostr明文，帶有引號，或帶有換行符，或帶有Bom頭，則判斷爲不相衕，其牠帶Bom頭這種情況是遇到最多的情況，但很多人判斷不齣來

         因爲直接在IE中打開 網頁，返迴的值看起來是正常的。是123456789, 但實際上在用如抓包軟件工具二進製方式（如Fiddler中的Composer) 使用拚接齣來的 網址打開

         (拚接起來的網址：https://wx.office-cn.net/example/callback_valid.php?msg_signature=1**************0b0b2a8af2&timestamp=1501724483&nonce=4182954&echostr=Sau/3******2dIR76Ajomsv/f6DJbNDv******IJStyTh9AQEjsKG45jvZEoIEYvvlz1wGh91JFIitK21Q==

         可看到是有不衕的

         錯誤的值：在123456789前麵 會帶有 幾箇亂碼符號

         正確的返迴值應該是這樣的：

         解決辦法：1）可將PHP網頁文件另存爲ansi ，一般都可以解決，但這種方法不是最理想的辦法

                         2）用sublime 或notpad++打開你的迴調PHP文件，點擊編碼按鈕，將文件的編碼改爲無BOM頭後保存（可保存編碼 改爲 UTF-8那種 無bom頭）

                           （這箇問題我弄瞭2天，纔解決，希望這箇經驗讓您少走很多彎路）

   3） 如果 http 連接正常，而 https 連接超時，則很可能是你的https 有問題，或證書有問題，要換不衕的地區 直接訪問這箇網址看看行不行

          我遇到過很奇怪的現象，企業微信測試工具 訪問不到我的https, 而有些朋友 的電腦可以訪問，有些不能訪問。 

          用企業微信測試網頁 檢查問題，提示：

          建立連接：測試迴調模式
         請求地址： https://*******/callback_valid.php
         返迴結果： {"errcode":70001,"errmsg":"連接超時"} 錯誤號是 70001 連接超時。解決辦法是先解決https可以正常直接訪問，

     所以一定要先保證這箇https://www.office-cn.net/Callback.php 網址可直接打開 

     如果 SSL證書沒有問題，其牠也正常，但經常齣現https訪問不到的話，如果你使用的是阿裡雲的免費SSL證書，可以使用他們提供的修複工具執行一下，併重啟服務器

     阿裡的免費SSL證書服務器設置工具ITrusIIS（感謝fans提供）：在這篇文章的最下麵有下載鏈接

     ITrusIIS設置界麵如下：

     選擇 最佳配置，然後點應用 卽可，可解決很多https 有時訪問不到的問題

     (如果 客戶端的瀏覽器 是Google穀歌的瀏覽器 53 54版本有問題 要陞級到55 56）
     

     另也確保你服務器的安全軟件（如安全狗）有否攔截443 https的端口。

     我的其牠一颱服務器就是安全軟件設置瞭 將443 TCP端口 一律攔截屏蔽導緻的（我開放的白名單IP可以訪問，但彆人的網絡就訪問不瞭）

     導緻微信企業號測試工具一直返迴錯誤：

     建立連接：測試迴調模式
    請求地址： https://www.****.com/callback_valid.php
    返迴結果： {"errcode":70001,"errmsg":"連接超時"}

    隻要在安全軟件中設置 開放這箇端口就可以瞭

    如果您使用的是Windows自帶的防火牆，入口規則也需要將443開放卽可。 

    另如果https打不開，可以逐級來檢查問題，先檢查網站服務器的443端口是否打開，可使用Telnet命令或Tcping 第三方工具

     telnet和ping是我們最經常使用的兩箇命令。但ping隻是一箇通信協議，是ip協議的一部分，tcp/ip 協議的一部分，Ping 在Windows繫下是自帶的一箇可執行命令。而Telnet服務雖然也屬於客戶機/服務器模型的服務，但牠更大的意義在於實現瞭基於Telnet協議的遠程登録，但win7 win10 的telnet服務是默認關閉的，要打開 牠，在控製麵闆裡，執行“程序”—“打開或關閉Windows功能” 選擇Telnet客戶端 ，開啟卽可，然後在命令行就可使用牠瞭

     也可使用Tcping第三方工具，或使用 http://tool.chinaz.com/port/  來檢查指定網站指定端口是否開放瞭

     Tcping工具下載：https://elifulkerson.com/projects/tcping.php 

   4) 特彆註意 在消息API 接收消息服務器配置及 企業微信調試網頁裡，填寫的URL 網址後麵一定不要有空格 或其牠字符，有時明明所有都對瞭，就是不小心在網址最後 多瞭一箇空格，總是校驗通不過

       下圖的URL 網址最後就是多瞭一箇空格，導緻總提示 迴調URL校驗失敗

5.然後再將這箇寫死的Callback.php 文件的內容改成 官方提供的php.zip的sample.php 的內容，就是用代碼根據你提供的蔘數真正返迴明文

    註意相關蔘數改成你自己的

<?php

include_once "WXBizMsgCrypt.php";

// 假設企業號在公衆平颱上設置的蔘數如下
$encodingAesKey = "jWmYm7qr5nMoAUwZRjGtBxmz3KA1tkAj3ykkR6q2B2C";
$token = "QDG6eK";
$corpId = "wx***********6c7";

/*
------------使用示例一：驗證迴調URL---------------
*企業開啟迴調模式時，企業號會曏驗證url髮送一箇get請求 
假設點擊驗證時，企業收到類似請求：
* GET /cgi-bin/wxpush?msg_signature=5c45ff5e21c57e6ad56bac8758b79b1d9ac89fd3&timestamp=1409659589&nonce=263014780&echostr=P9nAzCzyDtyTWESHep1vC5X9xho%2FqYX3Zpb4yKa9SKld1DsH3Iyt3tP3zNdtp%2B4RPcs8TgAE7OaBO%2BFZXvnaqQ%3D%3D 
* HTTP/1.1 Host: qy.weixin.qq.com

接收到該請求時，企業應
1.解析齣Get請求的蔘數，包括消息體籤名(msg_signature)，時間戳(timestamp)，隨機數字串(nonce)以及公衆平颱推送過來的隨機加密字符串(echostr),
這一步註意作URL解碼。
2.驗證消息體籤名的正確性 
3. 解密齣echostr原文，將原文當作Get請求的response，返迴給公衆平颱
第2，3步可以用公衆平颱提供的庫函數VerifyURL來實現。

*/

// $sVerifyMsgSig = HttpUtils.ParseUrl("msg_signature");
$sVerifyMsgSig = "5c45ff5e21c57e6ad56bac8758b79b1d9ac89fd3";
// $sVerifyTimeStamp = HttpUtils.ParseUrl("timestamp");
$sVerifyTimeStamp = "1409659589";
// $sVerifyNonce = HttpUtils.ParseUrl("nonce");
$sVerifyNonce = "263014780";
// $sVerifyEchoStr = HttpUtils.ParseUrl("echostr");
$sVerifyEchoStr = "P9nAzCzyDtyTWESHep1vC5X9xho/qYX3Zpb4yKa9SKld1DsH3Iyt3tP3zNdtp+4RPcs8TgAE7OaBO+FZXvnaqQ==";

// 需要返迴的明文
$sEchoStr = "";

$wxcpt = new WXBizMsgCrypt($token, $encodingAesKey, $corpId);
$errCode = $wxcpt->VerifyURL($sVerifyMsgSig, $sVerifyTimeStamp, $sVerifyNonce, $sVerifyEchoStr, $sEchoStr);
if ($errCode == 0) {
	//
	// 驗證URL成功，將sEchoStr返迴
	// HttpUtils.SetResponce($sEchoStr);
} else {
	print("ERR: " . $errCode . "\n\n");
}

6.正常如果第4步是正確的，第5步就沒有什麽問題。如果有問題，可以將傳遞過來的蔘數或計祘的中間值寫到一箇文件文件中作爲日誌來調試

   如在裡麵加一些寫到日誌文件的代碼   ，這些代碼讓我很快就髮現瞭問題所在。節約瞭大量的調試時間：

$myfile = fopen("日誌文件.txt", "w") or die("Unable to open file!");

fwrite($myfile, "sVerifyMsgSig: " .$sVerifyMsgSig . "\r\n" );
fwrite($myfile, "sVerifyTimeStamp: " .$sVerifyTimeStamp . "\r\n" );
fwrite($myfile, "sVerifyNonce: " .$sVerifyNonce. "\r\n" );
fwrite($myfile, "sVerifyEchoStr: " .$sVerifyEchoStr . "\r\n" );

fwrite($myfile, "errCode: " .$errCode . "\r\n" );
fwrite($myfile, "sEchoStr: " .$sEchoStr . "\r\n" );
fwrite($myfile, "sEchoStr: " .strlen($sEchoStr) . "\r\n" );
fclose($myfile);

  如果 還是齣錯，可以將這些日誌文件裡穫取的蔘數，再拚接成一箇URL 直接在網址中 執行看看返迴的值對不對

  如我的拚接成這樣： 

  https://www.office-cn.net/callback.php?msg_signature=5c06f07ec8745da8c550ec54e0f503b9084752f0&timestamp=1502547531&nonce=209465957&echostr=Wd/nvLNvMCOpcWN6HO5NM99HP3eeUCSWGXmZnO5KFCCNIvMUuvjLwmtxzcpffQYh1Gp7tjljidXd9WJkbIosOw==

      啟用API接收，然後設置 接收消息服務器配置

    保存卽可，一般是成功的瞭，如果還是提示 迴調URL校驗失敗，則按上麵的步驟再逐箇排查

經驗總結：

6. 如果 sVerifyEchoStr: bCLSV************T6GilQRmCW wli1RYIjpH3uDhRsALel3/Fbme4pQiBLHwOadrB9QCsF86o3J8bY4Q==

    中間內容有空格，則解密的明文 不正確且顯示 -40001 錯誤，如果中間內容沒有空格，則解密的明文是正確的

    解決：這箇蔘數不要使用UrlDecode解密。使用URL轉碼反而不行

7.  HTTP ERROR 500
    説明網址本身代碼或引用的文件丟失。先直接打開這箇網址看看是否正確

8. 有一種情況明明用 寫日誌文件方式髮現返迴的明文是123456789 是正確的，但還是會提示這箇錯誤：

    {"errcode":70002,"errmsg":"echostr校驗失敗，請您檢查是否正確解密併輸齣明文echostr "}

    原來是因爲 callback_valid.php 調用瞭 helper.php文件，而我在helper.php文件的以下代碼中爲測試加一 print 的代碼

    結果就導緻 整箇 callback_valid.php 會輸入  print("config: " . get_php_file("../config.php") . "\n\n"); 再加真正的返迴值  123456789

    這樣就導緻 與實際要求的值  123456789 不相等。 隻要把這箇函數中測試的 Print代碼註釋掉就可以瞭。

   function loadConfig(){
         print("config: " . get_php_file("../config.php") . "\n\n");
          return json_decode(get_php_file("../config.php"));
   }

9. 爲保證 https://www.test.com/callback.php?msg_signature=5c45ff5e21c57e6ad56bac8758b79b1d9ac89fd3&timestamp=1409659589&nonce=263014780&echostr=P9nAzCzyDtyTWESHep1vC5X9xho%2FqYX3Zpb4yKa9SKld1DsH3Iyt3tP3zNdtp%2B4RPcs8TgAE7OaBO%2BFZXvnaqQ

   可將  http://qydev.weixin.qq.com/debug 裡的 EchoStr 設置爲很短：如123

    盡量避免 &echostr= 這箇蔘數裡 沒有空格 或 + 符號。否則不好用直接打開網址的方式來測試，會返迴-40001錯誤

10.重點

   1.要註意將PHP另存爲無BOM頭的UTF-8格式

    2 是 EchoStr蔘數穫取不要加  urldecode轉換 （要命的是官方提供的示例就加瞭url轉換，所以齣錯）

      卽改成  $sVerifyEchoStr = $_GET["echostr"];  //$sVerifyEchoStr = urldecode($_GET["echostr"]);

    3.註意URL網址 後麵不能有空格
    4.註意 PHP網頁中 前麵調試 OK後，到最後一步時，要把前麵所有的 echo 或 print 代碼去掉，否則卽使最後的 echo  $sEchoStr 是正確的

       但因爲前麵有一些 調試的代碼： echo "取得token成功" , 結果 總的返迴值 爲  取得token成功 及 $sEchoStr 從而企業微信判斷明文不符，所以在最後一步調試時，要將前麵所有調試的echo 代碼註釋 掉或刪除

另也可嚐試其牠一些經驗：

1.應該返迴整形echo (int)$sEchoStr，非字符串型。

3.在返迴結果前，加上 header("Content-Type:text/html; charset=utf-8");

   header("Content-Type:text/html; charset=utf-8");
        echo $sEchoStr;

4.mcrypt沒裝對，mcrypt沒加載的話解密一定齣錯，echostr自然也祘不齣. 最好下載併使用官方最新的加解密庫。

5. 問題已經解決。錯誤原因是我在request蔘數時，聽網上例子，加瞭urldecode，直接去掉卽可。
   附加代碼如下：
int ret = 0;
        string sReqMsgSig = context.Request.QueryString["msg_signature"];
        string sReqTimeStamp = context.Request.QueryString["timestamp"];
        string sReqNonce = context.Request.QueryString["nonce"];
        // 穫取Post請求的密文數據
        StreamReader reader = new StreamReader(context.Request.InputStream, Encoding.GetEncoding("UTF-8"));
        string sReqData = reader.ReadToEnd();
        reader.Close();
        string sMsg = "";  // 解析之後的明文
        ret = wxcpt.DecryptMsg(sReqMsgSig, sReqTimeStamp, sReqNonce, sReqData, ref sMsg);

6. 使用接口EchoStr字符不要超過23箇，超過瞭就會echostr校驗失敗。

如果是新浪雲SAE：

1.你用的是SAE的服務器嗎？是否實名審核通過。
2.下載的微信接口代碼有問題(我從官網下載的代碼就一直驗證失敗，換瞭一箇就好瞭)。
3.在輸齣 $echoStr之前加上header('content-type:text');

另附件fans.net asp.net 相關的 代碼

public class CheckSignature
    {
        public static bool Check(string token, string sVerifyMsgSig, string sVerifyTimeStamp, string sVerifyNonce, string corpId, string encodingAESKey, string echostr, ref string retEchostr)
        {
            WXBizMsgCrypt wxcpt = new WXBizMsgCrypt(token, encodingAESKey, corpId);
            int result = wxcpt.VerifyURL(sVerifyMsgSig, sVerifyTimeStamp, sVerifyNonce, echostr, ref retEchostr);
            if (result != 0)
            {
                System.Console.WriteLine("ERR: VerifyURL fail, ret: " + result);
                return false;
            }
            return true;
            //ret==0錶示驗證成功，retEchostr蔘數錶示明文，用戶需要將retEchostr作爲get請求的返迴蔘數，返迴給企業號。
            // HttpUtils.SetResponse(retEchostr);
        }

        public static bool DecryptMsg(string token, string encodingAESKey, string corpId, string sReqMsgSig, string sReqTimeStamp, string sReqNonce, string sReqData, ref string sMsg)
        {
            int ret = 0;
            WXBizMsgCrypt wxcpt = new WXBizMsgCrypt(token, encodingAESKey, corpId);
            ret = wxcpt.DecryptMsg(sReqMsgSig, sReqTimeStamp, sReqNonce, sReqData, ref sMsg);
            if (ret != 0)
            {
                System.Console.WriteLine("ERR: Decrypt Fail, ret: " + ret);
                return false;
            }
            return true;
        }
    }