企业微信机器人接收用户回复消息，需在管理后台开启回调模式并配置 URL，服务器需实现签名验证与 echostr 解密，验证通过后原样返回解密字符串。此配置适用于需要实时接收用户消息的场景，风险边界在于服务器必须在 5 秒内响应且签名算法必须严格匹配官方规范。

快速处理思路

回调 URL 验证不涉及单一命令，需按以下逻辑流程处理服务器代码：

1. 接收 GET 请求，获取 msg_signature, timestamp, nonce, echostr 参数
2. 将 Token, timestamp, nonce, echostr 字典序排序后拼接字符串
3. 使用 SHA1 算法计算签名，与 msg_signature 比对
4. 使用 EncodingAESKey 解密 echostr
5. 将解密后的明文字符串直接返回给企业微信

为什么会这样

企业微信通过签名验证确保请求来源合法，通过 echostr 解密验证服务器具备消息加解密能力。回调模式开启后，企业微信会将用户消息推送至配置 URL，若验证失败则无法建立通信通道。此机制防止恶意第三方伪造请求窃取消息内容，确保双向通信安全。

分步处理

步骤 1：管理后台配置

登录企业微信管理后台，进入“应用管理”选择对应应用，找到“接收消息”设置项。填写回调 URL、Token 和 EncodingAESKey，点击“保存”会触发验证请求。若服务器未就绪，状态将显示“验证失败”。

步骤 2：服务器代码实现

在配置的 URL 对应接口中，优先处理 GET 请求用于验证。代码需引入官方提供的加解密库或自行实现 AES 解密逻辑。注意请求参数名大小写敏感，必须严格区分 msg_signature 与 signature 等不同场景参数。

步骤 3：提交验证

代码部署完成后，在管理后台再次点击保存或验证按钮。服务器日志应显示收到 GET 请求，且返回状态码为 200，响应体为解密后的 echostr 明文。

怎么验证是否生效

登录企业微信管理后台，查看应用详情页的“接收消息”状态栏。若显示“正常”且无红色报错提示，说明 URL 验证通过。可发送测试消息给机器人，检查服务器日志是否收到推送的 XML 或 JSON 格式消息包。

常见坑

1. 响应超时：企业微信要求验证请求必须在 5 秒内响应，若服务器执行耗时操作会导致验证失败。建议验证接口仅做签名校验和解密返回，不处理业务逻辑。

2. 编码格式错误：解密后的 echostr 必须为 UTF-8 编码字符串，若输出包含 BOM 头或额外换行符，会导致校验不通过。确保 HTTP 响应头 Content-Type 为 text/plain。

3. 密钥混淆：Token 和 EncodingAESKey 需与管理后台填写完全一致，大小写敏感。部分开发者误用自建密钥而非后台生成的随机密钥，导致签名比对失败。

常见问题

验证失败提示签名错误怎么办

检查 Token 是否一致且签名算法顺序正确。需将 Token、timestamp、nonce、echostr 四个参数按字典序排序后拼接，再进行 SHA1 哈希计算，顺序错误会导致签名不匹配。

服务器收到请求但后台显示超时

优化接口响应速度，确保 5 秒内返回结果。验证阶段不要在接口内查询数据库或调用第三方 API，仅完成解密和返回动作，业务逻辑移至异步队列处理。

回调模式必须使用加密吗

是的，开启回调模式接收消息必须使用加密模式。企业微信不再支持明文模式推送消息，服务器必须具备解密能力才能接收用户回复内容。

参考来源

企业微信开发者文档，页面标题：接收消息 - 回调模式，URL：https://developer.work.weixin.qq.com/document/path/90930