本文详细介绍了如何使用Python和Sanic框架结合微信小程序实现用户注册登录的全栈解决方案。通过小程序的wx.login和wx.getUserInfo接口获取用户信息,服务器端使用这些信息换取session_key并解密获取用户数据,从而实现用户授权登录。文中还涉及到JWT的使用和服务器API的设计。
开发微信小程序时,接入小程序的授权登录可以快速实现用户注册登录的步骤,是快速建立用户体系的重要一步。这篇文章将介绍 python + sanic + 微信小程序实现用户快速注册登录全栈方案。
微信小程序登录时序图如下:
这个流程分为两大部分:
小程序使用 wx.login() API 获取 code,调用 wx.getUserInfo() API 获取 encryptedData 和 iv,然后将这三个信息发送给第三方服务器。
第三方服务器获取到 code、encryptedData和 iv 后,使用 code 换取 session_key,然后将 session_key 利用 encryptedData 和 iv 解密在服务端获取用户信息。根据用户信息返回 jwt 数据,完成登录。
下面我们先看一下小程序提供的 API。
小程序登录 API
在这个授权登录的过程中,用到的 API 如下:
wx.login
wx.getUserInfo
wx.chekSession 是可选的,这里并没有用到。
wx.login(OBJECT)
调用此接口可以获取登录凭证(code),以用来换取用户登录态信息,包括用户的唯一标识(openid) 及本次登录的 会话密钥(session_key)。
如果接口调用成功,返回结果如下:
| 参数名 | 类型 | 说明 |
|---|---|---|
| errMsg | String | 调用结果 |
| code | String | 用户允许登录后,回调内容会带上 code(有效期五分钟),开发者需要将 code 发送到开发者服务器后台,使用code 换取 session_key api,将 code 换成 openid 和 session_key |
code 换取 session_key
开发者服务器使用登录凭证 code 获取 session_key 和 openid。其中 session_key 是对用户数据进行加密签名的密钥。为了自身应用安全,session_key 不应该在网络上传输。所以这一步应该在服务器端实现。
wx.getUserInfo
此接口用来获取用户信息。
当
withCredentials为 true 时,要求此前有调用过 wx.login 且登录态尚未过期,此时返回的数据会包含 encryptedData, iv 等敏感信息;当 withCredentials 为 false 时,不要求有登录态,返回的数据不包含 encryptedData, iv 等敏感信息。
接口success 时返回参数如下:
| 参数名 | 类型 | 说明 |
|---|---|---|
| userInfo | OBJECT | 用户信息对象,不包含 openid 等敏感信息 |
| rawData | String | 不包括敏感信息的原始数据字符串,用于计算签名。 |
| signature | String | 使用 sha1( rawData + sessionkey ) 得到字符串,用于校验用户信息,参考文档 signature。 |
| encryptedData | String | 包括敏感数据在内的完整用户信息的加密数据,详细见加密数据解密算法 |
| iv | String | 加密算法的初始向量,详细见加密数据解密算法 |
encryptedData 解密后为以下 json 结构,详见加密数据解密算法
{
"openId": "OPENID",
"nickName": "NICKNAME",
"gender": GENDER,
"city": "CITY",
"province": "PROVINCE",
"country": "COUNTRY",
"avatarUrl": "AVATARURL",
"unionId": "UNIONID",
"watermark":
{
"appid":"APPID",
"timestamp":TIMESTAMP
}
}
由于解密 encryptedData 需要 session_key 和 iv 所以,在给服务器端发送授权验证的过程中需要将 code、encryptedData 和 iv 一起发送。
服务器端提供的 API
服务器端授权需要提供两个 API:
/oauth/token 通过小程序提供的验证信息获取服务器自己的 token
/accounts/wxapp 如果登录用户是未注册用户,使用此接口注册为新用户。
换取第三方 token(/oauth/token)
开始授权时,小程序调用此 API 尝试换取jwt,如果用户未注册返回401,如果用户发送参数错误,返回403。
接口 获取 jwt 成功时返回参数如下:
| 参数名 | 类型 | 说明 |
|---|---|---|
| account_id | string | 当前授权用户的用户 ID |
| access_token | string | jwt(登录流程中的第三方 session_key |
| token_type | string | token 类型(固定Bearer) |
小程序授权后应该先调用此接口,如果结果是用户未注册,则应该调用新用户注册的接口先注册新用户,注册成功后再调用此接口换取 jwt。
新用户注册(/accounts/wxapp)
注册新用户时,服务器端需要存储当前用户的 openid,所以和授权接口一样,请求时需要的参数为 code、encryptedData 和 iv。
注册成功后,将返回用户的 ID 和注册时间。此时,应该再次调用获取 token 的接口去换取第三方 token,以用来下次登录。
实现流程
接口定义好之后,来看下前后端整体的授权登录流程。
这个流程需要注意的是,在 C 步(使用 code 换取 session )之后我们得到 session_key,然后需要用 session_key 解密得到用户数据。
然后使用 openid 判断用户是否已经注册,如果用户已经注册,生成 jwt 返回给小程序。如果用户未注
最低0.47元/天 解锁文章
4791
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
