企业微信iPad协议演进：从私有二进制到可扩展接口 原创

企业微信在移动端的早期实现，曾采用封闭的二进制协议，iPad 端亦不例外。该协议以 TLV（Type-Length-Value）为核心，通过 0x01~0xFF 的指令空间完成登录、消息同步与文件传输。以下片段还原了 2018 版握手帧结构：

typedef struct {
    uint8_t  magic;      // 固定 0xEE
    uint16_t version;    // 0x0102
    uint32_t len;        // 后续 payload 长度
    uint8_t  cipher[32]; // ECDH 共享密钥加密
} WxHandShake;

随着合规要求收紧，企业微信在 2021 年将 iPad 协议迁移至基于 mmtls 的“轻型接口层”。该层仍保留 TLV 容器，但把指令空间压缩到 0x01~0x7F，0x80 以上留给扩展。登录流程被拆成三步：

1. 设备证书预校验
2. 会话密钥协商
3. 业务票据派发

每一步都附带 ed25519 签名，防止中间人替换。下面给出密钥协商的最小可运行示例（Go 1.21）：

func doECDH(priv []byte, pub *ecdsa.PublicKey) ([]byte, error) {
    curve := pub.Curve
    x, _ := curve.ScalarMult(pub.X, pub.Y, priv)
    return x.Bytes(), nil
}

消息通道改用“双工长连接 + 短轮询”混合模式：长连接负责增量事件，短轮询兜底历史记录。事件包体仍用 TLV，但外层套了 16 字节 AES-GCM 标签。解密后得到如下结构：

struct WxEvent {
    uint8_t  type;   // 0x21=文本 0x22=图片
    uint64_t from;   // 企业成员 uint64
    uint64_t to;     // 会话 ID
    uint32_t ts;     // Unix 时间戳
    uint8_t  payload[0];
};

企业微信同时暴露了一套“轻量 HTTP 接口”，供内部系统回调。该接口不返回原始 TLV，而是把事件映射为 JSON，字段名全部小写，并剔除敏感字。示例回调体：

{
    "event": "msgaudit",
    "from": "1688850012345678",
    "to": "1688850098765432",
    "content": "hello",
    "ts": 1699564800
}

对于需要自建服务的团队，官方推荐走“可扩展接口层”——在 iPad 端仅保留会话维持逻辑，把业务计算下沉到服务端。该模式把登录态抽象为 OAuth2 的 access_token，有效期 2 h，刷新令牌 7 d，避免了早期协议中“一机一密”的硬编码风险。获取令牌的最简 Python 片段如下：

import requests, json, base64
cert = open("device.p12", "rb").read()
url = "https://open.weixin.qq.com/cgi-bin/service/get_provider_token"
body = {
    "corpid": "wwxxx",
    "provider_secret": base64.b64encode(cert).decode()
}
tk = requests.post(url, json=body).json()["provider_access_token"]

至此，企业微信 iPad 协议完成了从私有二进制到可扩展接口的过渡：既满足合规审计，又为第三方系统留出集成空间。理解其 TLV 容器、mmtls 通道与 OAuth2 令牌的三角关系，是后续做消息同步与事件回调的根基。