Linux迷+Python粉 - 微信

个案分析：20800元的微信小程序抢注骗局揭秘

2017-12-29T15:00:00+08:00

2017年12月份，我身边一位做实体母婴商品店的老板陷入了一场微信小程序“骗局”，以每个小程序20800的价格投资了小程序，我一开始以也没发现很不妥，直到后来老板再次被忽悠买多了几个小程序才醒悟是这样一场骗局。

过程¶

骗子以展望小程序未来，小程序像域名那样具有唯一性，有品牌推广功能等等为噱头，诱骗店主购买小程序20800元。
半年后，四川一家野技公司加了店主微信，表示他的小程序名字非常唯一，价值高，有家天津科技公司愿意买，然后故意任由店主出价。最后谈到150万转让费。期间制造各种问题拖延时间，店主也认为升值快，担心卖早了，不想早早答应，“配合”拖延。
再有其他2家异地公司谈另一种合作模式，一切成本由科技公司出，有利润后，店主和公司按8：2分成。为增加信任，同时给出了一篇四海皆准的操作方案稿，并且互怼竞争方说自己公司才比较靠谱。
我开始介入，发现小程序可登录可运行，前台后台用户体验都极差，并有不能写收货地址等明显bug。但因为反馈后当日下午就修复了问题，就觉得这家公司还是靠谱的。我甚至还觉得店主可能真的捡到金了。毕竟在互联网工作，见过些大起大落的科技浪潮。风口之中，猪也能飞。
后来店主被忽悠，再入手2个20800元的小程序，签完文件交了钱才和我说。我终于才想清楚整件事情。——一边虚高价销售抢注和维护小程序的“终身服务”，一边装作有意收购出更离谱的高价造成店主认为小程序极具投资价值的幻觉。然后骗子让店主多买几个来挣更多钱。因没有互联网经验，实体店主在被忽悠下爽口地多买几个。
认清这个行骗模式之后劝醒了店主，店主后来收回合约和钱，只损失了2000元。至于之前就有那个小程序，他表示就算了。此事至此结束。

证据难点¶

这个产品是一个能运行，能使用，能交易的空壳，除此之外毫无价值。虽然明知那些小程序的劣质功能只值两、三千，卖了20800给实体店主，但是骗子可以咬定这个壳程序就值这个价。互联网虚拟产品成本核算难问题。让你无法判定次品高卖这个事实。所以，这是一次高级的骗局，虽然能识破，但维权投诉没有用。

最近接触股市，中国股市的本质是不是类似呢？再比如比特币最近大起大落…… 大伪若真。假作真时假亦真。

参考¶

假冒腾讯公司1.98万卖小程序，各大小老板为何纷纷被骗？ http://www.newbelink.com/article/31911.html

注意微信小程序骗局 https://tieba.baidu.com/p/5249331035

警惕!北海出现“1.98万抢注小程序”骗局!已有人被骗惨,都要注意… http://www.sohu.com/a/203976441_185101

微信开发python+django两个月的成功经历，django是个好框架！

2014-06-28T20:12:00+08:00

时间：大三¶

上学期没有用微信内置浏览器而纯对话开发，坑了自己好一下。

下学期选错bottle框架，以为轻量好，谁知开发中什么都自己来很痛苦。

选对了框架django，终于在大三最后的个把月里写出了里程碑式的现在这个微信端，自己都感动到，作为我大三一年web开发的终结吧。

亮点1：自带后台管理

亮点2：后台权限管理

亮点3：微信回复规则设置去代码化，图形界面。

亮点4：一平台多网店

亮点5：图片自动缩略成200*300px大小（使用了七牛空间）

亮点6：gzip压缩，网络流量为原来33%左右。SAE中Gzip压缩设置

亮点7：保存接受的所以文本消息，记录永存！

亮点8：购买者可查看历史订单，购买总额等。

亮点9：后台可查看用户下单总额，最近下单时间等等。

亮点10：商店信息，商品信息均在后台直接修改。

亮点11：平台创始人可强制商店下线。

技巧：微信规则不匹配时不能回复吗？不是，规则包含空字符总能匹配任意文本，请看下面的微信规则截图。

后台¶

选择botlle框架，自己写sql，便学边用，很痛苦的换了20天作出来了微信第一版。这版其实很简陋，但其给我的经验很重要。演示地址：点击入口。

抛弃bottle，选择django，后来证明我的选择是对的，虽然学习坡度比较大，但是其框架本身带来的效率和效益却是学习框架本身的好几倍。我喜欢它的自带后台管理，和后台权限管理，更喜欢它的ORM，省去很多sql的事情，比如sql语句编写，sql防注问题，sql迁移方便等等。这次用上了这三大功能，另外还巧用django的模板渲染实现微信回复功能，但这不是django特有。

微信已经实现了多店功能。这也是当初我为什么坚定选择django，因为django的一project多app的架构刚好契合这个一平台多店铺的想法。后来我学scrapy框架，发现也是一project多app，方便不少。同时说明一project多app是先进的，是趋势之一。

前台¶

我比较喜欢后端的开发，前端的我就修改已有好的前端代码，参考了微信公众号“果然美”，“微果大爱”，“华农果满堂”，“微盟”，“乐外卖”等前端设计。技术上使用html5+css3。

现在平台上有果色天香和澳洲红酒两个店铺

代码统计¶

使用linux shell统计

合理版 cat $(find . -name “.py” -or -name “.yaml” -or -name “*.rst” -or -name “sell_detail.html”) | wc | sed “1i static:\nlines | words | bytes”

纯净版 cat $(find . -path “./guosetianxiang” -prune -or -name “.py” -or -name “.yaml” -or -name “*.rst” -or -name “sell_detail.html”) | wc | sed “1i static:\nlines | words | bytes”

完全版 cat $(find . -name “.py” -or -name “.yaml” -or -name “.rst” -or -name “.html”) | wc | sed “1i static:\nlines | words | bytes”

前端展示：感谢前人成果！¶

=============================后台是亮点=============================¶

后台首页

微信回复规则，使用模板渲染自定义变量！

功能代码：

微信用户

订单截图

看到这里，你是否也认为django是个好框架呢？¶

在新浪云上运行得还好，不算慢，请那些嫌弃django臃肿庞大，速度慢的人，不要再误导他人，这就好像那些说python慢的人一样，我至今没有实践证明出过慢在哪。

django是python作者本身都很喜欢的框架，又是那么多商用网站的框架，经得其考验。

如果可以，当然希望你可以作出一个比django更好的框架，可是至少现在还不大可能。python的django和ruby的rails都得经过时间的考验。我相信 django 是经得住考验的，正如我相信python一样。

附上增加微店步骤（澳洲红酒为例）¶

复制guosetianxiang 改名 aozhouwine

修改setting.py 安装app ‘aozhouwine’

访问/syncdb-online完成数据库同步

根app的url.py 加入两行:

import aozhouwine

...

url(r'^aozhouwine/', include('aozhouwine.urls')),

admin管理，weixinshop应用商店表中增加一条，并增加账户给商店所有者A，然后授权。

A在自己的应用商店信息表中增加一条记录，(token在此设置)。

微信开发者url: /aozhouwine/weixin/ token为之前设置的。

访问/aozhouwine/sync_shopinfo完成商店同步。

A增加消息，回复规则表中的记录。

A上架商品。

依然涉及少量代码操作，以及有一点繁琐。

微信公众平台开发（免费云BAE+高效优雅的Python+网站开放的API）

2013-10-16T23:44:00+08:00

虽然校园App是个我认为的绝对的好主意，但最近有个也不错的营销+开发的模式出现：微信平台+固定域名服务器。

微信公众平台的运行模式不外两个:

一、机器人模式或称转发模式，将说话内容转发到服务器上完成，拿服务器的回复再一次转发，就完成一次问答谈话。

二、人控模式，一个自然人登陆公众平台上，能直接接触到所有关注者，与之交互，这一定也是最累的。

微信公众平台若是服务号，用来做微网站，省去了登录认证过程。但说白了就是微信定制版的微网站。这我一学期后才搞懂，如果早些弄懂就不会做那么多无用功。

微信公众平台须有正面头像+身份证的照片来实名认证，非常严格。顺便一说，微信公众平台官方说法是偏支持大企而非个人。

服务器(准确的说只是一个引擎)有新浪云SAE，百度云BAE，阿里云AAE。

SAE最早，但使用云豆消费，注册只送500个。到现在，BAE允许创建10个应用而不用实名认证，SAE是需实名认证的。还有BAE比SAE强的就是支持git，虽然两者都支持svn，非常合时，刚好我学习git中，我果断选择BAE。云上建的每个应用可有20个版本，但任一个版都可以并且唯一上线。AAE(阿里云)一直不支持python，很让人失望。

第一阶段：入门——轻轻走过飘过。¶

下面是用数天时间借鉴前人成果Kingson的《一个用Python和Bottle实现基于微信公众平台API和SAE查询豆瓣电影的简单应用》开发的。

这个例子非常适合在用Python的开发人员。经过一番狠狠的折腾，我还弄懂了其它问题：云的概念、OAuth、token、微信API调用，网站API调用、python等，百度谷歌都会有答案。

还有很多像微信API通信认证(话说竞然用xml而不用json通信，不过这是取舍问题，无可厚非)，python web框架，git对接云服务器……用了我许多时间。过程曲折复杂，看起来只是转移一下云平台，但实名认证，开发者域名的认证等浪费了我很多时间，因为没经验，很多各种问题都撞上了，尤其是我这种粗心大意，心眼碗粗的人，整个过程实在不算顺利，但我相信别人都会比我顺利，因为我连最低级的错都犯了。不多说，贴上关键代码代码。

下载地址：http://pan.baidu.com/s/1d1g3l

#! /usr/bin/env python
# coding=utf-8
__author__ = 'jszhou'
from bottle import *
import hashlib
import xml.etree.ElementTree as ET
import urllib2
# import requests
import json

app = Bottle()

"""
Change Log:
03-04--03-08 完成微信API+Python自动回复代码雏形，可以通过电影ID查询电影信息，以Text形式返回给用户电影
Title和电影summary
# 03-11 完成通过电影名称查询并返回图文格式的数据
# 03-13 1.增加给新关注的用户自动返回“欢迎关注豆瓣电影，输入电影名称即可快速查询电影讯息哦！”信息的功能
        2.完善注释信息

关于本地调试问题：
微信没有提供本地调试功能，给用户造成不小的麻烦。
打开Bottle的Debug功能，在本地运行自己的代码（启动Server），使用Chrome或Firefox上的Advanced Rest Client插件来模拟微信服务器向自己的应用发送请求，
这样就可以看到详细的报错信息，方便开发者定位修复问题，其相当于，自己的应用是SAE，而Advanced Rest Client模拟的是新微信客户端和微信服务器。
也有同学自己写脚本，模拟微信服务器发送数据，这也是同样的道理。

遗留问题：
1.从豆瓣拿到的海报图片都是竖向的，而微信中显示的是横向的，所以在微信看图片就被裁了一节，不过还好能看，
  如何能完整显示海报图片，有待进一步research;
2.现在的通过电影名称返回的结果，实际上是拿的豆瓣返回的第一条数据，这样就有可能不准确，如何精确匹配用户的
  查询条件，也还需要进一步研究。
"""

@app.get("/")
def checkSignature():
    """
    这里是用来做接口验证的，从微信Server请求的URL中拿到“signature”,“timestamp”,"nonce"和“echostr”，
    然后再将token, timestamp, nonce三个排序并进行Sha1计算，并将计算结果和拿到的signature进行比较，
    如果相等，就说明验证通过。
    话说微信的这个验证做的很渣，因为只要把echostr返回去，就能通过验证，这也就造成我看到一个Blog中，
    验证那儿只返回了一个echostr，而纳闷了半天。
    附微信Server请求的Url示例：http://yoursaeappid.sinaapp.com//?signature=730e3111ed7303fef52513c8733b431a0f933c7c
&echostr=5853059253416844429&timestamp=1362713741&nonce=1362771581
    """
    token = ""  # 你在微信公众平台上设置的TOKEN
    signature = request.GET.get('signature', None)  # 拼写不对害死人那，把signature写成singnature，直接导致怎么也认证不成功
    timestamp = request.GET.get('timestamp', None)
    nonce = request.GET.get('nonce', None)
    echostr = request.GET.get('echostr', None)
    tmpList = [token, timestamp, nonce]
    tmpList.sort()
    tmpstr = "%s%s%s" % tuple(tmpList)
    hashstr = hashlib.sha1(tmpstr).hexdigest()
    if hashstr == signature:
        return echostr
    else:
        return "wws:indentify error"

def parse_msg():
    """
    这里是用来解析微信Server Post过来的XML数据的，取出各字段对应的值，以备后面的代码调用，也可用lxml等模块。
    """
    recvmsg = request.body.read()  # 严重卡壳的地方，最后还是在Stack OverFlow上找到了答案
    root = ET.fromstring(recvmsg)
    msg = {}
    for child in root:
        msg[child.tag] = child.text
    return msg

def query_movie_info():
    """
    这里使用豆瓣的电影search API，通过关键字查询电影信息，这里的关键点是，一是关键字取XML中的Content值，
    二是如果Content中存在汉字，就需要先转码，才能进行请求
    """
    movieurlbase = "http://api.douban.com/v2/movie/search"
    DOUBAN_APIKEY = ""  # 这里需要填写你自己在豆瓣上申请的应用的APIKEY
    movieinfo = parse_msg()
    searchkeys = urllib2.quote(movieinfo["Content"].encode("utf-8"))  # 如果Content中存在汉字，就需要先转码，才能进行请求
    url = '%s?q=%s&apikey=%s' % (movieurlbase, searchkeys, DOUBAN_APIKEY)
    # return "<p>{'url': %s}</p>" % url
    # url = '%s%s?apikey=%s' % (movieurlbase, id["Content"], DOUBAN_APIKEY)
    # resp = requests.get(url=url, headers=header)
    resp = urllib2.urlopen(url)
    movie = json.loads(resp.read())
    # return "<p>{'movie': %s}</p>" % movie
    # info = movie["subjects"][0]["title"] + movie["subjects"][0]["alt"]
    # info = movie['title'] + ': ' + ''.join(movie['summary'])
    return movie
    # return info

def query_movie_details():
    """
    这里使用豆瓣的电影subject API，通过在query_movie_info()中拿到的电影ID，来获取电影的summary。
    """
    movieurlbase = "http://api.douban.com/v2/movie/subject/"
    DOUBAN_APIKEY = ""  # 这里需要填写你自己在豆瓣上申请的应用的APIKEY
    id = query_movie_info()
    url = '%s%s?apikey=%s' % (movieurlbase, id["subjects"][0]["id"], DOUBAN_APIKEY)
    resp = urllib2.urlopen(url)
    description = json.loads(resp.read())
    description = ''.join(description['summary'])
    return description

@app.post("/")
def response_msg():
    """
    这里是响应微信Server的请求，并返回数据的主函数，判断Content内容，如果是“Hello2BizUser”，就
    表明是一个新注册用户，调用纯文本格式返回，如果是其他的内容就组织数据以图文格式返回。

    基本思路：
    # 拿到Post过来的数据
    # 分析数据（拿到FromUserName、ToUserName、CreateTime、MsgType和content）
    # 构造回复信息（将你组织好的content返回给用户）
    """
    #拿到并解析数据
    msg = parse_msg()
    #设置返回数据模板
    #纯文本格式
    textTpl = """<xml>
             <ToUserName><![CDATA[%s]]></ToUserName>
             <FromUserName><![CDATA[%s]]></FromUserName>
             <CreateTime>%s</CreateTime>
             <MsgType><![CDATA[%s]]></MsgType>
             <Content><![CDATA[%s]]></Content>
             <FuncFlag>0</FuncFlag>
             </xml>"""
    #图文格式
    pictextTpl = """<xml>
                <ToUserName><![CDATA[%s]]></ToUserName>
                <FromUserName><![CDATA[%s]]></FromUserName>
                <CreateTime>%s</CreateTime>
                <MsgType><![CDATA[news]]></MsgType>
                <ArticleCount>1</ArticleCount>
                <Articles>
                <item>
                <Title><![CDATA[%s]]></Title>
                <Description><![CDATA[%s]]></Description>
                <PicUrl><![CDATA[%s]]></PicUrl>
                <Url><![CDATA[%s]]></Url>
                </item>
                </Articles>
                <FuncFlag>1</FuncFlag>
                </xml> """
    #判断Content内容，如果等于"Hello2BizUser"，表明是一个新关注用户，如果不是，就返回电影标题，电影简介
    #和电影海报组成的图文信息
    if msg["Content"] == "Hello2BizUser":
        echostr = textTpl % (
            msg['FromUserName'], msg['ToUserName'], str(int(time.time())), msg['MsgType'],
            u"欢迎关注豆瓣电影，输入电影名称即可快速查询电影讯息哦！")
        return echostr
    else:
        Content = query_movie_info()
        description = query_movie_details()
        echostr = pictextTpl % (msg['FromUserName'], msg['ToUserName'], str(int(time.time())),
                                Content["subjects"][0]["title"], description,
                                Content["subjects"][0]["images"]["large"], Content["subjects"][0]["alt"])
        return echostr

if __name__ == "__main__":
    # Interactive mode
    debug(True)
    run(app,host='127.0.0.1', port=8080, reloader=True)
else:
    # Mod WSGI launch
#    import sae
#    debug(True)
#    os.chdir(os.path.dirname(__file__))
#    app = default_app()
#    application = sae.create_wsgi_app(app)

#################################################
    #os.chdir(os.path.dirname(__file__))#Forbidden to access
    from bae.core.wsgi import WSGIApplication
    application = WSGIApplication(app)

注：代码中用json.dumps会更好。后注：此注不对。

深入阶段，将http://www.cnblogs.com/mchina/tag/%E5%BE%AE%E4%BF%A1%E5%85%AC%E4%BC%97/里的功能用python实现之。¶

……

本代码需要与bottle.py一并上传到服务器空间。

附上一些特别信息：

微信开发调试小工具下载：http://www.cnblogs.com/linkbiz/archive/2013/05/16/3080306.html

本人微信公众号pythonwoodpub，开发项目澳洲红酒微信服务号，