微信小程序用户登录和登录态维护

让用户登录，标识用户和获取用户信息，以用户为核心提供服务，是大部分小程序都会做的事情。我们今天就来了解下在小程序中，如何做用户登录，以及如何去维护这个登录后的会话（Session）状态。

在微信小程序中，我们大致会涉及到以下三类登录方式：

•  
• 自有的账号注册和登录；
• 使用其他第三方平台账号登录；
• 使用微信账号登录（即直接使用当前已登录的微信账号来作为小程序的用户进行登录）。

第一和第二种方式是目前Web应用中最常见的两种方式，在微信小程序中同样可以使用，但是需要值的注意的是，小程序中没有Cookie的机制，所以在使用这2种方式前，请确认你们或第三方的API是否需要依赖Cookie；还有小程序中也不支持HTML页面，那些需要使用页面重定向来进行登录的第三方API就需要改造，或不能用了。

我们今天主要来讨论一下第三种方式，即如何使用微信账号进行登录，因为这种方式和微信平台结合最紧密，用户体验比较好。

登录流程

引用小程序官方文档的登录流程图，整个登录流程基本如下图所示：

 

 

该图中，“小程序”指的就是我们使用小程序框架写的代码部分，“第三方服务器”一般就是我们自己的后台服务程序，“微信服务器”是微信官方的API服务器。

下面我们来逐步分解一下这个流程图。

步骤一：在客户端获取当前登录微信用户的登录凭证(code)

在小程序中登录的第一步，就是先获取登录凭证。我们可以使用wx.login()方法并得到一个登录凭证。

我们可以在小程序的App代码中发起登录凭证请求，也可以在其他任何Page页面代码中发起登录凭证请求，主要根据你小程序的实际需要。

步骤二：将登录凭证发往你的服务端，并在你的服务端使用该凭证向微信服务器换取该微信用户的唯一标识(openid)和会话密钥(session_key)

首先，我们使用wx.request()方法，请求我们自己实现的一个后台API，并将登录凭证（code）携带过去，例如在我们前面代码的基础上增加：

你的后台服务接着需要使用这个传递过来的登录凭证，去调用微信接口换取openid和session_key

我们先来介绍下openid，用过公众号的童鞋应该对这个标识都不陌生了，在公众平台里，用来标识每个用户在订阅号、服务号、小程序这三种不同应用的唯一标识，也就是说每个用户在每个应用的openid都是不一致的，所以在小程序里，我们可以用openid来标识用户的唯一性。

那么session_key是用来干嘛的呢？有了用户标识，我们就需要让该用户进行登录，那么 session_key 就保证了当前用户进行会话操作的有效性，这个session_key是微信服务端给我们派发的。也就是说，我们可以用这个标识来间接地维护我们小程序用户的登录态，那么这个session_key是怎么拿到的呢？我们需要在自己的服务端请求微信提供的第三方接口 https://api.weixin.qq.com/sns/jscode2session 

从这几个参数，我们可以看出，要请求这个接口必须先调用wx.login()来获取到用户当前会话的code。那么为什么我们要在服务端来请求这个接口呢？其实是出于安全性的考量，如果我们在前端通过request调用此接口，就不可避免的需要将我们小程序的appid和小程序的secret暴露在外部，同时也将微信服务端下发的session_key暴露给“有心之人”，这就给我们的业务安全带来极大的风险。除了需要在服务端进行session_key的获取，我们还需要注意两点：

1. session_key和微信派发的code是一一对应的，同一code只能换取一次session_key。每次调用wx.login() ，都会下发一个新的code和对应的session_key，为了保证用户体验和登录态的有效性，开发者需要清楚用户需要重新登录时才去调用wx.login()
2. session_key是有失效性的，即便是不调用wx.login，session_key也会过期，过期时间跟用户使用小程序的频率成正相关，但具体的时间长短开发者和用户都是获取不到的

步骤三：生成3rd_session

前面说过通过 session_key 来“间接”地维护登录态，所谓间接，也就是我们需要 自己维护用户的登录态信息 ，这里也是考虑到安全性因素，如果直接使用微信服务端派发的session_key来作为业务方的登录态使用，会被“有心之人”用来获取用户的敏感信息，比如wx.getUserInfo()这个接口呢，就需要session_key来配合解密微信用户的敏感信息。

那么我们如果生成自己的登录态标识呢，这里可以使用几种常见的不可逆的哈希算法，比如md5、sha1等，将生成后的登录态标识（这里我们统称为'skey'）返回给前端，并在前端维护这份登录态标识(一般是存入storage)。而在服务端呢，我们会把生成的skey存在用户对应的数据表中，前端通过传递skey来存取用户的信息。

步骤四：在客户端保存Session ID

开发Web应用的时候，在客户端（浏览器）中，我们通常将Session ID存放在cookie中，但是小程序没有cookie机制，所以不能采用cookie了，但是小程序有本地的storage，所以我们可以使用storage来保存Session ID，以供后续的后台API调用所使用。

在之后，调用那些需要登录后才有权限访问的后台服务时，你可以将保存在storage中的Session ID取出并携带在请求中（可以放在header中携带，也可以放在querystring中，或是放在body中，根据你自己的需要来使用），传递到后台服务，后台代码中获取到该Session ID后，从redis中查找是否有该Session ID存在，存在的话，即确认该session是有效的，继续后续的代码执行，否则进行错误处理。

前面我们将skey存入前端的storage里，每次进行用户数据请求时会带上skey，那么如果此时session_key过期呢？所以我们需要调用到wx.checkSession()这个API来校验当前session_key是否已经过期，这个API并不需要传入任何有关session_key的信息参数，而是微信小程序自己去调自己的服务来查询用户最近一次生成的session_key是否过期。如果当前session_key过期，就让用户来重新登录，更新session_key，并将最新的skey存入用户数据表中。

步骤五：支持emoji表情存储

如果需要将用户微信名存入数据表中，那么就确认数据表及数据列的编码格式。因为用户微信名可能会包含emoji图标，而常用的UTF8编码只支持1-3个字节，emoji图标刚好是4个字节的编码进行存储。

这里有两种方式(以mysql为例)：

1.设置存储字符集

在mysql5.5.3版本后，支持将数据库及数据表和数据列的字符集设置为 utf8mb4 ，因此可在 /etc/my.cnf 设置默认字符集编码及服务端编码格式

[client]
default-character-set=utf8mb4
[mysql]
default-character-set=utf8mb4
[mysqld]
character-set-client-handshake = FALSE
character-set-server=utf8mb4
collation-server=utf8mb4_unicode_ci

设置完默认字符集编码及服务端字符集编码，如果是对已经存在的表和字段进行编码转换，需要执行下面几个步骤：

设置数据库字符集为 utf8mb4

ALTER DATABASE 数据库名称 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_unicode_ci;

设置数据表字符集为 utf8mb4

ALTER TABLE 数据表名称 CONVERT TO CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

设置数据列字段字符集为 utf8mb4

ALTER TABLE 数据表名称 CHANGE 字段列名称 VARCHAR(n) CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

这里的 COLLATE 指的是排序字符集，也就是用来对存储的字符进行排序和比较的， utf8mb4 常用的collation有两种： utf8mb4_unicode_ci 和 utf8mb4_general_ci ，一般建议使用 utf8mb4_unicode_ci ，因为它是基于标准的 Unicode Collation Algorithm(UCA) 来排序的，可以在各种语言进行精确排序。这两种排序方式的具体区别可以参考： What's the difference between utf8_general_ci and utf8_unicode_ci

2.通过使用sequelize对emoji字符进行编码入库，使用时再进行解码

这里是sequelize的配置，可参考 Sequelize文档

{
 dialect: 'mysql', // 数据库类型
 dialectOptions: { 
  charset: 'utf8mb4',
  collate: "utf8mb4_unicode_ci"
 },
}

附：后台代码（tp5）