深入理解小程序作用机制(openid unionid sessionkey)

已于 2024-02-03 15:15:11 修改
阅读量876 收藏 9
点赞数 6
文章标签: 小程序 web安全 网络安全 安全
于 2024-02-03 15:08:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73452266/article/details/135957731
版权

文章目录

在挖小程序漏洞的时候会遇到openid等用户标识,因此了解openid和unionid等是什么必不可少。

开放平台

开放平台是指提供第三方开放API接口的平台,比如微信和QQ。我们在使用其他应用时肯定遇到过QQ登录,微信登录,类似于微信和QQ提供了一个开放API接口的平台。

unionid

应用中用户需要一个标识,unionid就是一个唯一用户标识。但是需要注意的是不同开放平台的unionid是不同的。即:

同一个用户在每一个开放平台对应唯一的unionid

我们在登录时就是获取unionid的过程,由于unionid的不同,所以不会出现登录到别人账号的情况

openid

openid的推出

在刚开始时小程序是可以直接获取unionid的,但是由于每个用户在开放平台的unionid都是唯一的,考虑到数据的安全性。于是在2021年,微信官方规定小程序不再直接获取用户的unionid。并且推荐了一种新的标识openid。

openid的构成

在小程序中openid是由三部分构成:appid,secret,code。

如下图
1.在前台第一步需要用户登录,会调用wx.login去获取一个code。
2.然后后端将code和appid和secret传入微信服务器(与小程序服务器区别)
appid和secret是在开发程序时得到的,与用户无关。
3.微信服务器返回openid等信息。

同一个用户在每一个小程序的openid都是一样的。

用户在小程序a和小程序b得到的openid是一样的。
在这里插入图片描述

openid和unionid的区别

定义和作用:
OpenID:OpenID是微信对用户的唯一标识,用于在同一个小程序或公众号中唯一标识一个用户。
UnionID:UnionID是在微信开放平台上创建的一个开发者账号下所有应用的唯一标识,用于实现多个应用之间的用户关联。

生成方式:
OpenID:微信服务器会为每个用户在每个小程序或公众号中生成一个独立的OpenID。
UnionID:UnionID是由微信用户在微信开放平台上的多个应用之间关联生成的。

sessionkey

sessionkey作用

小程序在使用时,需要向微信服务器获取用户的信息,因此需要开启一个会话,而sessionkey作为一个密钥来解密信息。

session的作用过程

看到上图应该就可以知道,在向微信服务器传入appid,secret和code时得到sessionkey,然后小程序服务器可以拿着sessionkey和用户的登录信息去向微信服务器换取用户在微信服务器的信息。

小程序获取openidunionid服务号获取unionid服务号消息推送
XBODHX的专栏
11-06 2378
网上很多资料但是都太杂太乱很多是复制过来复制过去,微信官方给的文档也很坑很多地方没说清,自己整理了一下。 首先:要获取unionid服务号和小程序都要绑定到微信开放平台,并且都要认证,认证需要一定费用。 微信开放平台地址:https://open.weixin.qq.com/ 绑定服务号和小程序 绑定玩完成后才可以获取用户的unionid,不绑定无法获取 获取小程序的用户unionid要通过小程序授权才可以,获取服务号的用户unionid,要通过用户关注服务号才可以,unionid是开放平
PHP(thinkphp)微信小程序获取openidunionid
abchuangyoucheng的博客
04-08 1663
前提条件 1\保证小程序绑定在微信开发平台(不是微信公众号平台) 步骤 1\网上下载微信官方提供的PHP的demo,会有3个文件: 2\在微信小程序通过用户授权获得code,iv,encryptedData /** * 授权登录 */ authorLogin: function(e) { //这里就可以获取用户的基本信息了 let _this = this; consol...
微信小程序获得session_key和openId(加解密、签名系列)
03-29
1:session_key和openId是什么?session_key   官方说明为: session_key是微信服务器生成的针对用户数据进行加密签名的密钥 session_key的用途 (1)对wx.getUserInfo()接口得到“用户信息中的密文”进行解密。 (2)对它“稍作处理”,用作维护小程序的登录态。 “稍微处理”大体为: (1)生成一个随机数(官方把他叫做3rd_session) (2)把这个随机数当session的key,session_key + openid为value。 即:session[3rd_session]=session_key+openid   open
微信开发中你不知道的事~openidunionid、session_key
qq_34583944的博客
08-22 1893
如果开发者拥有多个移动应用、网站应用、和公众帐号(包括小程序),可通过 UnionID 来区分用户的唯一性,因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号(包括小程序),用户的 UnionID 是唯一的。同一用户,对同一个微信开放平台下的不同应用,unionid是相同的。登录微信开放平台 — 管理中心 — 小程序 — 绑定小程序
微信小程序:一文彻底搞懂openidunionid
cc蒲公英的博客
04-07 1273
微信小程序:一文彻底搞懂openidunionid
openid 和 session_key到底是干什么的?使用场景是什么?底层原理是什么?
长风破浪会有时的博客
01-05 884
openid和是实现用户身份验证和数据安全保护不可或缺的部分。
微信小程序04: 获取openIdunionId
pingzhuyan的博客
06-15 4508
> 小程序相关操作专栏
详解微信小程序-获取用户session_key,openid,unionid - 后端为nodejs
10-17
主要介绍了微信小程序获取session_key,openid,unionid的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微信小程序—登录获取openidunionid
D_Energy的博客
10-25 1201
微信官方文档·小程序UnionID机制说明 如果开发者拥有多个移动应用、网站应用、和公众帐号(包括小程序),可通过 UnionID 来区分用户的唯一性,因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号(包括小程序),用户的 UnionID 是唯一的。换句话说,同一用户,对同一个微信开放平台下的不同应用,unionid是相同的。 UnionID获取途径 绑定了开发者帐号的...
小程序】 PHP解密用户数据获取unionid的方法 【已经封装到一个类中】
03-20
PHP微信小程序之获取并解密用户数据获取openIdunionId。wxBizDataCrypt.php 和 pkcs7Encoder.php 和 errorCode.php封装到了一个文件中!生成sessionKey 的接口方法(https://api.weixin.qq.com/sns/jscode2session...
小程序获取openid(亲测通过)
08-13
小程序获取openid(亲测通过) 用C#后台代码写的 包括小程序前台后台代码
微信小程序登陆并获取用户信息详解(openid、session_key)
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-29 1万+
小程序开发过程,js中所看到的wx.xxx(),其本身就含有一个接口请求,只是一些请求路径和请求参数都已经内嵌了xxx里面了。所以在wx.xxx()首先,你需要在小程序中调用 wx.login 接口,这会向微信服务器发送请求以获取一个临时的 code。wx.login({// res.code 是微信返回的临时登录凭证// 发送 res.code 到你的服务器进行换取 openIdsessionKey} else {console.log('登录失败!})
小程序开发时openidunionid
weixin_49132861的博客
03-28 5182
openidunionid
微信小程序中的用户ID(包括openidunionid)
时清云的博客
01-29 1万+
最近在做微信小程序的开发,以前小程序这块接触的不多,所以就想把在项目中每一步遇到的问题总结下来。 开始做的时候,这个openId肯定是要打交道的。那下面我们来看一下openId到底是怎么一回事吧。 做过微信开发的同学,多多少少都会涉及到用户的唯一标识的问题。由于微信牢牢把控着用户的信息,因此当你需要在微信平台中获取用户的标示信息,必然要通过微信的平台接口来获取(其实这个openId是来区分用户唯一...
OpenIdUnionId
时光里的博客
02-08 3398
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
微信小程序中wx.login()获取到的openidunionid、session_key含义及用处
番茄Salad
10-03 2023
微信小程序中wx.login()获取到的openidunionid、session_key含义及用处
小程序openid
然后不二
03-26 9610
小程序openid相当重要,它是用户的唯一标识id,牵扯的支付,登录,授权等!你可以理解为小程序的账号,小程序是获取不到你的微信号的,这个属于私密信息!只能获取用户的昵称,头像,openid,session_key等 下面就讲解一下我获取openid 首先,获取openid,需要具备,AppID(小程序ID),AppSecret(小程序密钥) ,还有登录成功后返回给你的js_code 废话不多说...
微信小程序 openid用法介绍
荒的博客
09-07 1万+
openidOpenID Connect)是一个基于OAuth 2.0协议的认证协议,用于在客户端和服务端之间传递用户身份信息。在微信小程序中,openid是唯一标识一个用户的字符串,是用户在小程序中的身份证明。
获得session_key和openId(加解密、签名系列)
热门推荐
sinat_36947685的博客
12-26 2万+
1:session_key和openId是什么?session_key 官方说明为: session_key是微信服务器生成的针对用户数据进行加密签名的密钥 session_key的用途 (1)对wx.getUserInfo()接口得到“用户信息中的密文”进行解密。 (2)对它“稍作处理”,用作维护小程序的登录态。 “稍微处理”大体为: (1)生成一个随机数(官方把他
微信小程序根据openid获取unionid
最新发布
02-20
### 微信小程序中通过 OpenID 获取 UnionID 在微信生态内,OpenID 是用户在一个特定的小程序中的唯一标识符,而 UnionID 则是在同一微信公众平台下的多个应用(包括公众号、小程序等)之间的通用用户标识。对于已经绑定了微信开放平台账号的应用来说,可以通过用户的授权来获取 UnionID。 #### 接口说明 当开发者希望从小程序端获得用户的UnionID时,并不是直接基于OpenID去查询得到UnionID,而是应该利用`auth.code2Session`接口完成此操作[^3]。该过程涉及前端向后端发送临时登录凭证 code ,由服务器携带 appid 和 secret 向微信服务器发起请求交换 session_key 及可能存在的 unionid 。需要注意的是只有当用户将小程序绑定到微信开放平台上之后才会返回 unionid 字段;如果未绑定,则不会提供 unionid 信息。 具体流程如下: 1. 用户同意授权给小程序; 2. 前端调用微信提供的 `wx.login()` 方法获取临时登录凭证(code); 3. 将code传送给自己的服务端; 4. 服务端使用appid,secret以及收到的code访问`https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code` URL 来换取 openId , session_key (还有可能是unionid); 5. 如果需要进一步处理加密数据(如头像昵称),则还需要解密 encryptedData 参数内的内容才能拿到完整的用户资料,这部分涉及到AES算法的具体实现,在某些框架中有现成工具可以直接调用,比如ThinkPHP 中的做法就是如此[^4]. ```php // PHP示例代码用于解密并获取unionid public function getUionid($sessionKey,$iv,$encryptedData){ /** * 通过$sessionKey,$iv,$encryptedData解密获取unionid */ vendor('wxunionid.wxBizDataCrypt'); $pc = new \WXBizDataCrypt($this->appId, $sessionKey); $unionId = $pc->decryptData($encryptedData, $iv, $data); return json_decode($unionId,true); } ``` 值得注意的是,上述过程中提到的服务端逻辑应当妥善保管好敏感信息(appid/secret/session_key), 并确保传输的安全性以防止泄露风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

&阿权&

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值