自定义菜单

学习目标

• 了解 HTTPS 请求的概念。

• 掌握自定义菜单接口的调用方法。

• 熟悉自定义菜单接口的程序实现。

随着微信公众平台的不断发展，微信提供的菜单已不能满足企业的需求，企业更倾向于利用自定义菜单，通过简洁的菜单结构，开展线上业务或宣传和定位企业品牌。因此开发者需要更深入地了解自定义菜单的原理、接口以及实现方法。

自定义菜单需要调用微信公众平台开放的自定义菜单接口，而这些接口都采用 HTTPS 协议，因此需要解决微信公众平台开发中发送 HTTPS 请求的问题。

安全超文本传输协议（Secure Hypertext Transfer Protocol，HTTPS）是一个安全通信通道，它基于 HTTP 开发，用于在客户计算机和服务器之间交换信息，使用安全套接字层（SSL）进行信息交换。简单来说，HTTPS 是 HTTP 的安全版，它由 Netscape 开发并内置于其浏览器中，用于对数据进行压缩和解压缩操作，并返回网络上传送回的结果。HTTPS 实际上应用了 Netscape 的安全套接字层作为 HTTP 应用层的子层。

HTTPS 的主要作用是保护用户的隐私，防止流量劫持。由于 HTTP 本身是明文传输的，没有经过任何安全处理，因此中间者完全能够查看到来往交互的信息，甚至对真实数据进行修改，比如当用户发现自己打开的网站不是真正要浏览的网站，或者打开的网站页面上浮了一个大大的广告时，基本上表示流量已被人给篡改劫持了。HTTPS 能够保护数据不被别人获取，它采用如下方式来实现。

（1）内容加密，从浏览器到服务器的内容是以加密形式传输的，中间者无法直接查看原始内容。

（2）身份加密，保证用户访问的是真正想要访问的网站，即使被 DNS 劫持到了第三方站点，也会提醒用户没有访问真实站点，可能是被劫持了。

（3）数据完整性，防止内容被第三方冒充或者篡改。

HTTPS 和 HTTP 的区别：HTTPS 协议需要到 CA 申请证书，免费证书很少，需要交费；HTTP 是超文本传输协议，信息是明文传输的，HTTPS 则使用安全的 SSL 加密传输协议；HTTP 和 HTTPS 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443；HTTP 的连接很简单，是无状态的；HTTPS 是由 SSL+HTTP 构建的可进行加密传输、身份认证的网络协议，要比 HTTP 安全。

HTTPS 可解决的问题如下。

（1）信任主机的问题。采用 HTTPS 的 Server 必须从 CA 处申请一个用于证明服务器用途类型的证书，该证书只有用于对应的 Server 的时候，客户端才信任此主机。所以目前所有的银行系统网站，关键部分应用都是 HTTPS 的。客户信任了该证书，从而信任了该主机。其实这样做效率很低，但是银行更侧重安全。

（2）通信过程中数据的泄密和被篡改的问题。

① 一般意义上的 HTTPS，Server 有一个证书，主要目的是保证主机是可靠的、可信任的，这个跟（1）是一样的。另外，服务端和客户端之间的所有通信都是加密的，具体讲，就是客户端产生一个对称的密钥，通过 Server 的证书来交换密钥，这样对于一般意义上的握手过程，所有的信息往来就都是加密的，第三方即使截获，也没有任何意义，因为没有密钥，当然篡改也就没有意义了。

② 有时也会要求客户端必须有一个证书。这里就类似于表示个人信息的时候，除了用户名和密码外，还有一个 CA 认证过的身份，因为个人证书一般是无法模拟的，所以这样才能够更深地确认自己的身份。目前少数个人银行的专业版采用这种做法，具体证书可能是用 U 盘作为一个备份的载体。