微信小程序+tp6 授权登录 中间键token验证 接口恶意请求

已于 2022-03-04 15:23:03 修改
阅读量997 收藏 1
点赞数
文章标签: 微信小程序 gnu p2p
于 2022-02-14 16:41:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63507260/article/details/122927355
版权

静默登录

app.js 全局配置里 

App({
  onLaunch() {

    // 展示本地存储能力

    const logs = wx.getStorageSync('logs') || []

    logs.unshift(Date.now())
    wx.setStorageSync('logs', logs)

    // 登录
    wx.login({

      success: res => {

        wx.request({

          url: 'url',

          method: "POST",

          data: {

            code: res.code

          },

          success: (result) => {

            console.log(result);

            wx.setStorage({

              key: 'open_id',

              data: result.data.data.open_id

            })

            wx.setStorage({

              key: 'token',

              data: result.data.data.token

            })
          },
        })
        // 发送 res.code 到后台换取 openId, sessionKey, unionId
      }
    })
  },
  globalData: {
    userInfo: null
  }
})

封装curl  config

return [
    "url"=>"https://api.weixin.qq.com/sns/jscode2session?appid=%s&secret=%s&js_code=%s&grant_type=authorization_code",
    'AppID'=>'',//自己的微信小程序appsecret
    "AppSecret"=>'',//自己的微信小程序appsecret
];

 

 

封装curl

function curlGet($url){
    $headerArray =array('Content-type:application/json;','Accept:application/json');
    $ch = curl_init();
    curl_setopt($ch,CURLOPT_URL,$url);
    curl_setopt($ch,CURLOPT_SSL_VERIFYPEER,FALSE);
    curl_setopt($ch,CURLOPT_SSL_VERIFYHOST,FALSE);
    curl_setopt($ch,CURLOPT_RETURNTRANSFER,1);
    curl_setopt($ch,CURLOPT_HTTPHEADER,$headerArray);
    $output = curl_exec($ch);
    curl_close($ch);
    $output = json_decode($output,true);
    return $output;
}

 tp6 控制器

public function login(Request $request){
        //获取code码

        $code = $request->post('code'); //var_dump($code);die();

        //获取微信授权url

        $url = sprintf(config('wx.url'),config('wx.AppID'),config('wx.AppSecret'),$code);

        //获取openid

        $data = json_decode(file_get_contents($url));

        $data = (array)$data;

        //进行查询数据库里面是否有该用户,如果没有,则进行新增

        $user = User::where('open_id',$data['openid'])->find();

        //如果没有用户进行创建

        if (empty($user)){

            $user = User::insert([

                'open_id'=>$data['openid'],

                'session_key'=>$data['session_key'],

            ]);
        }

        //生成token,保存用户登录状态

        $token = (new \app\home\service\JWT())->getToken($user->id);

        return success(['token'=>$token,'open_id'=>$data['openid']]);
    }

tp6 中间件

//中间件验证token 和 接口并发 恶意请求问题的解决   

public function handle($request, \Closure $next)
    {
        $token = $request->header('token');
        try{
            $userId = JWT::getUserId($token);
            if (!$userId){
                return fail('token不存在');
            }
            $requestLimit = Cache::store('redis')->get($request->ip() . '_' . $userId);
            if ($requestLimit) {

                // 存在判断当前数量是否大于20次
                if ($requestLimit > 20) {

                    throw new Exception('操作过快');

                } else {

                    // 当前操作数量不大于20次则自增1次
                    Cache::store('redis')->inc($request->ip() . '_' . $userId,1);

                }
            } else {

                // 不存在记录当前ip下用户操作次数,有效期1分钟内
                Cache::store('redis')->set($request->ip() . '_' . $userId,1,60);

            }
        }catch (\Exception $e){
            return fail('内部错误');
        }
        return $next($request);
    }

安装 JWT

composer require lcobucci/jwt 3.3

JWT 封装

<?php
/**
 * Created by PhpStorm.
 * User: HentHao
 * Date: 2022/2/19
 * Time: 9:30
 */

namespace app\home\service;

use Lcobucci\JWT\Signer\Hmac\Sha256;
use Lcobucci\JWT\Builder;
use Lcobucci\JWT\Parser;
use Lcobucci\JWT\ValidationData;

class JWT
{
    private static $_config = [
        'audience' => 'http://www.pyg.com',//接收人
        'id' => '3f2g57a92aa',//token的唯一标识,这里只是一个简单示例
        'sign' => 'pinyougou',//签名密钥
        'issuer' => 'http://adminapi.pyg.com',//签发人
        'expire' => 3600 * 24 //有效期
    ];

    //生成token
    public static function getToken($user_id)
    {
        //签名对象

        $signer = new Sha256();

        //获取当前时间戳

        $time = time();

        //设置签发人、接收人、唯一标识、签发时间、立即生效、过期时间、用户id、签名

        $token = (new Builder())->issuedBy(self::$_config['issuer'])

            ->canOnlyBeUsedBy(self::$_config['audience'])

            ->identifiedBy(self::$_config['id'], true)

            ->issuedAt($time)

            ->canOnlyBeUsedAfter($time - 1)

            ->expiresAt($time + self::$_config['expire'])

            ->with('user_id', $user_id)

            ->sign($signer, self::$_config['sign'])

            ->getToken();

        return (string)$token;
    }

    //从请求信息中获取token令牌
    public static function getRequestToken()
    {
        if (empty($_SERVER['HTTP_AUTHORIZATION'])) {
            return false;
        }

        $header = $_SERVER['HTTP_AUTHORIZATION'];

        $method = 'bearer';

        //去除token中可能存在的bearer标识
        return trim(str_ireplace($method, '', $header));
    }

    //从token中获取用户id (包含token的校验)
    public static function getUserId($token = null)
    {
        $user_id = null;

        $token = empty($token) ? self::getRequestToken() : $token;

        if (!empty($token)) {
            //为了注销token 加以下if判断代码
            $delete_token = cache('delete_token') ?: [];

            if (in_array($token, $delete_token)) {

                //token已被删除(注销)
                return $user_id;
            }

            $token = (new Parser())->parse((string)$token);

            //验证token
            $data = new ValidationData();

            $data->setIssuer(self::$_config['issuer']);//验证的签发人

            $data->setAudience(self::$_config['audience']);//验证的接收人

            $data->setId(self::$_config['id']);//验证token标识

            if (!$token->validate($data)) {
                //token验证失败
                return $user_id;
            }

            //验证签名
            $signer = new Sha256();

            if (!$token->verify($signer, self::$_config['sign'])) {
                //签名验证失败
                return $user_id;
            }

            //从token中获取用户id

            $user_id = $token->getClaim('user_id');
        }

        return $user_id;
    }
}

中间件获取token  header获取token

 wx.request({
      url: 'url',

      header: {

        'context-type':'application/json',

        'token': wx.getStorageSync('token')//后端能够获取token
      },
      success(res){

        console.log(res);

        let hotel = res.data.data;

        //渲染数据
        _this.setData({
          hotel
        })

      }
    })

肖雄熊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tp6 加 微信小程序获取opendid (附带源代码 建议收藏)
瑾的日常
06-02 716
微信小程序页面 <button bind:tap="getUserProfile">授权</button> 微信小程序jsdai
tp6 加 jwt 实现小程序登录
lzc147258的博客
05-23 158
安装好以后 直接创建一个文件在自己模块下面来调用生成token。写入代码 复制过去改一改命名空间就可以了。然后是登录调用获取token。找个方法比之前的那个好多简洁。composer安装jwt。
微信小程序Token登录验证
IT成长记
02-25 1万+
上图是微信开发文档提供的图。 最近开发一款小程序,看了许久的微信文档,这里来记录一下其中的登录授权过程。 总体流程: 前端执行wx.login()获取code传给后端 后端通过微信官方的登录凭证校验接口获取到session_key与openid,将session_key与openid保存下来。然后自定义登录状态(一开始我也先不明白这里该怎么做,后面我会介绍我的做法,欢迎大佬指正)并返回给前端。 前端以后每次请求都会携带该自定义登录状态,后端进行登录状态的判断,正常就返回业务数据,否则重新登陆,获取新的.
tp6使用curl
weixin_45999514的博客
09-06 511
【代码】tp6使用curl。
微信小程序登录(生成tokentoken校验)——后端
Z__XY_的博客
12-28 5030
写在前面:如果想自己开发微信小程序,需要先到微信小程序官方平台注册账号,地址为:https://mp.weixin.qq.com/wxopen/waregister?action=step1. 其中,开发者服务器就是我们的后端服务器,微信接口服务就是微信提供的服务。openid是微信用户身份的唯一标识。开发者服务器中所谓的自定义登录状态,就是记录当前用户的相关信息,比如存储用户的openid到数据库、生成token等。当小程序获取到开发者服务器返回的自定义登录态(token)后,小程序可以记录下该值,用它作
微信小程序配置服务器提示验证token失败的解决方法
12-01
最近在学习微信小程序,遇到的第一个问题就是需要配置服务器 关于这个服务器的配置我也是绕了好多弯路,说白了腾讯就是想通过你填的这个URL和Token验证你有一个自己的服务器(外网可以访问的服务器),其实就是想...
微信小程序登录换取token的教程
12-03
所谓落后就要挨打,那么今天就开始学习小程序的一些小知识吧(本文基于十年磨一剑的tp5) 目录: 微信登录换取token的流程 如何将code变成openid和session_key 抛出错误异常和派发令牌 一:微信登录换取token的...
springboot+security+jwt+redis 实现微信小程序登录token权限鉴定.zip
最新发布
03-10
微信小程序是腾讯公司基于微信平台推出的一种轻量级应用形态,它无需用户下载安装即可在微信内直接使用。自2017年正式上线以来,小程序凭借其便捷性、易获取性和出色的用户体验迅速获得市场认可,并成为连接线上线下...
【新】微信服务号+微信小程序+微信支付+支付宝支付
01-26
微信小程序,服务端接口支持 微信认证服务号,服务端接口支持 微信支付(账单、卡券、红包、退款、转账、App支付、JSAPI支付、Web支付、扫码支付等) 支付宝支付(账单、转账、App支付、刷卡支付、扫码支付、W
微信小程序登录换取token
03-29
所谓落后就要挨打,那么今天就开始学习小程序的一些小知识吧(本文基于十年磨一剑的tp5)   目录: 微信登录换取token的流程 如何将code变成openid和session_key 抛出错误异常和派发令牌 一:微信登录换取token的...
微信小程序url与token设置详解
01-03
微信小程序url与token设置详解 新浪云应用sae的代码里创建一个weixin.php文件,写入以下代码 define(TOKEN,myToken);// 后台填写的token,在微信公众平台启用 $wechatObj = new wechatAPI(); $wechatObj->isValid(); class wechatAPI { public function isValid()//验证微信接口验证函数以外的代码和微信公众号开发token设置相同 { $echoStr = $_GET[echostr]; if ($this->checkS
微信小程序获取用户信息和自定义token两种方法
08-12
文件中是一个极简单的小程序代码包,包括了三种方法:其中两种是获取用户信息和第三方token 的方法,一种是使用 header 向后台校验 token 的方法,配套的后台代码会在之后提供
小程序--Token生成与验证
红尘炼炼心的博客
12-09 5361
每次请求接口携带token,进行验证 1.验证成功则返回接口数据 2.验证失败(token过期),小程序重新请求生成新的token,然后请求之前的接口 key值: 随机数+时间戳+盐 value值: id+session_key+openid
微信小程序授权登录+Tp5后端
it0_soft的专栏
11-29 1万+
在网上查了好多资料,也参考了一些博主的方法,然后融合自己的方法写了个授权登录,废话不多说,直接上代码,伸手党可以好好看看了 先上效果截图: 授权界面点击授权界面哎,不会用csdn的编辑器,本来想把两张图片并排的,谁知道弄不来,算了将就看吧, index.wxml代码: &lt;view wx:if="{{canIUse}}"&gt; &lt;view class='header'...
token php6,ThinkPHP6中间件处理后台登录逻辑的用法
weixin_32017023的博客
03-11 575
上篇为大家带来《ThinkPHP6.0使用extends Base方式处理后台登录逻辑》,说好要分享使用ThinkPHP6中间件的方法来做登录逻辑处理。今天就大致讲解一下吧。首先需要做应用的根目录创建一个中间件的文件夹(和控制器controller同级),小超越就命名为middieware吧,你们可以随意命名,只要便于维护就好,然后在这个文件夹下创建Auth.php文件,同样的文件命名可以根据自己...
thinkphp中api接口数据安全解决方案之sign检验
徊忆羽菲
01-03 1244
thinkphp中api接口数据安全解决方案之sign检验封装校验方法调用校验方法抛出异常类ApiExceptionapp.php配置文件 封装校验方法 <?php namespace app\common\lib; use app\common\lib\Aes; class ApiAuth { /* * 生成签名 */ public static function setSign($data = []) { //1 把数组按照字段
tp6api接口加密中间
热门推荐
qq_29974553的博客
06-19 10万+
前言 前段时间老板突然说,APP的接口能不能加密,token容易被人破解,让我想个办法,不让别人破解。我一阵搜索脑袋,发现这东西没做过,就对老板说了一句我试试。作为一个程序员,面向百度编程,已成了必备技能。网上百度一下,主要有几种方式进行加密: php后端生成密钥发给开发人员,开发人员根据密钥,把参数加上进行md5加密,生成sign。后端拿到数据根据密钥也进行加密,比对sign。安全性较强 token加密,这个加密方式已经太普遍了,只要拿到用户的token,就可以随便请求,安全性一般 通过对称加密算法,该
mac下的各种sed、grep、ag命令查看日志好用
litefish的专栏
02-26 1939
删除文件的前100行,注意mac上要加个空字符串 sed -i "" '1,100d' 404.log
# PHP后端接口获取微信小程序Openid+用户登录信息入库#TP6#
Genghuidong的博客
04-21 873
# 获取微信小程序Openid+用户登录信息入库 1、微信开放平台 搜索getUserProfile(获取用户信息。页面产生点击事件) 2、往下滑有微信小程序wxml和js代码~直接复他mua的制!! 3、直接微信小程序看效果 4、Js页面直接输出发送后端请求 5、来到后端,这里我用的时TP6框架 ...
微信小程序python token验证_Django实现微信小程序登录验证功能并维护登录
06-09
好的,关于微信小程序登录验证功能,我们可以通过以下步骤来实现: 1. 在微信公众平台上创建小程序,并获取小程序的AppID和AppSecret。 2. 在Django项目中创建一个API接口,用于接收小程序发送过来的code并获取session_key和openid。 3. 在小程序前端代码中,通过wx.login()方法获取code,并将code发送给Django后端API接口。 4. 在Django后端API接口中,使用AppID、AppSecret和code调用微信的API,获取session_key和openid。 5. 将获取到的session_key和openid存储到Django的数据库中,并生成一个自定义的token作为登录态。 6. 将自定义的token发送给小程序前端,并在小程序前端中将token存储到本地。 7. 在小程序前端的每个API请求中,都携带token发送给Django后端,Django后端接口接收到token后,验证token是否正确,并判断登录态是否过期。 8. 如果token验证通过且登录态未过期,则返回请求数据;如果token验证失败或者登录态已过期,则返回错误信息。 具体实现细节可以根据具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值