小程序登录授权实践

最新推荐文章于 2023-02-10 22:50:54 发布
最新推荐文章于 2023-02-10 22:50:54 发布
阅读量299 收藏 1
点赞数
分类专栏: 前端 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31325079/article/details/115315293
版权

小程序登录授权实践

1. 概念

  1. unionId
  2. openId
  3. session_key
  4. access_token

1.1. unionId

如果开发者拥有多个移动应用、网站应用、和公众帐号(包括小程序),可通过 UnionID 来区分用户的唯一性,因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号(包括小程序),用户的 UnionID 是唯一的。
换句话说,同一用户,对同一个微信开放平台下的不同应用,UnionID是相同的。

获取途径
绑定了开发者帐号的小程序,可以通过以下途径获取 UnionID。

  1. 开发者可以直接通过 wx.login + code2Session 获取到该用户 UnionID,无须用户授权。
  2. 小程序端调用云函数时,可在云函数中通过 cloud.getWXContext 获取 UnionID。
  3. wx.getUserInfo 得到 encryptedData iv 解密然后使用session key 解密

1.2. openId

理解为 openId = hash(unionId + appid)

获取
wx.login() => (code) => return sesson key + openid

1.3. session_key

用于解密 getUserInfo返回的敏感数据。
获取wx.login() => (code) => return sesson key + openid

1.4. access_token

小程序全局唯一后台接口调用凭据(access_token)。调用绝大多数后台接口时都需使用 access_token

2. API

2.1. wx.login

() => code

2.2. wx.getUserInfo

获取用户信息 调用前需要 用户授权 scope.userInfo
参数

属性说明
withCredentials是否带上登录态信息。当 withCredentials 为 true 时,要求此前有调用过 wx.login 且登录态尚未过期,此时返回的数据会包含 encryptedData, iv 等敏感信息;当 withCredentials 为 false 时,不要求有登录态,返回的数据不包含 encryptedData, iv 等敏感信息。

返回值

属性说明
userInfo用户信息对象,不包含 openid 等敏感信息
rawData不包括敏感信息的原始数据字符串,用于计算签名
signature使用 sha1( rawData + sessionkey ) 得到字符串,用于校验用户信息
encryptedData包括敏感数据在内的完整用户信息的加密数据
iv加密算法的初始向量
cloudID敏感数据对应的云 ID,开通云开发的小程序才会返回,可通过云调用直接获取开放数据

2.3. 服务端API:auth.getAccessToken()

获取小程序全局唯一后台接口调用凭据(access_token)。调用绝大多数后台接口时都需使用 access_token,开发者需要进行妥善保存。
(grant_type = 'client_credential', appid, secret) => { access_token, expires_in }

2.4. 服务端API:auth.code2Session()

(appid, secret, js_code, grant_type = 'authorization_code') => { openid, session_key, ?unionid }
注意:用户在开放平台的唯一标识符,在满足 UnionID 下发条件的情况下会返回unionid, 否则需要授权getuserinfo

3. 授权

在这里插入图片描述

  1. 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器
  2. 开发者服务器调用 auth.code2Session 接口,换取 用户唯一标识 OpenID,用户在微信开放平台帐号下的唯一标识UnionID若当前小程序已绑定到微信开放平台帐号) 和 会话密钥 session_key
  3. 之后开发者服务器可以根据用户标识来生成自定义登录态,用于后续业务逻辑中前后端交互时识别用户身份。

:::warning

  1. 会话密钥 session_key 是对用户数据进行 加密签名 的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。
  2. 临时登录凭证 code 只能使用一次
    :::

4. 情景分析

情景1: 新用户

需要注册:wx.getUserInfo => userInfo / iv / encryptedData
登录 wx.login => code => token / session key
服务端根据session key + iv + encryptedData => unionid / openid

情景2: 老用户,但是微信没有缓存信息

服务端需要知道是谁 这里的标识是token
登录 wx.login => code => token / session key
如果需要更新用户信息,就需要重新wx.getUserInfo => userInfo / iv / encryptedData

情景3:老用户,有缓存信息,但是token失效

重新获取token的过程 wx.login => code => token / session key

5. 最佳实践

我们手上的工具

  1. 获取用户信息
    流程:用户授权 => getUserInfo => userInfo / rawData(iv / encryptedData)
  2. 获取token
    流程:wx.login => code => openId | session key
  3. 获取unionID
    流程:获取token(session) + 获取用户信息(rawData) => unionID
  4. openId
    流程:获取token

注册

获取token + 获取unionID

方案:一个专门的注册页面来做,正常体验

<AtButton
  type='primary'
  lang='zh_CN'
  openType='getUserInfo'
  onGetUserInfo={this.handleGetUserInfo}
>
  立即登录
</AtButton>

handleGetUserInfo(res) {
  const loginParams = res.detail
  // 获取 userinfo rawData 以及校验信息 iv, encryptedData  
  // signature = hash(rawData + session key)  session key下面可以获取到
  const { iv, encryptedData, rawData, signature, userInfo } = loginParams
  if (!iv || !encryptedData) {
    Taro.showModal({
      title: '授权提示',
      content: `需要您的授权才能购物`,
      showCancel: false,
      confirmText: '知道啦'
    })
    return
  }
  // 获取code 服务端可以用拿到新的session key 来解密
  let code = ''
  try {
    const result = await Taro.login()
    code = result.code
  } catch (e) {
    console.log(e)
    return Taro.showToast({
      title: '微信授权失败,可能微信版本过低',
      icon: 'none'
    })
  }
  // 注册 校验和解密用户信息 
  let params = {
   code,
   iv,
   encrypted_data: encryptedData,
   rawData,
   signature,
   userInfo
 }
  const { access_token, is_user, nickName, union_id, open_id } = await api.wx.login(params)
  // ...
}

登录

获取token

async function autoLogin() {
  const { code } = await Taro.login()
  const { access_token } = await api.wx.login({ code })
  if (!access_token) throw new Error(`token is not defined: ${access_token}`)
  return access_token
}

token失效

获取token
方案:队列 或者 缓存,做到静默登录

@withCache(10)
function makeReq(config) {
  // ...
  return new Promise((resolve, reject) => {
    showLoading('加载中')
    Taro.request(options)
    .then(async (res) => {
      if (res.data.code >= 200 && res.data.code < 300) {
        resolve(res.data)
      } else if(res.data.code === 401) {
        await autoLogin()
        const data = await makeReq(config)
        resolve(data)
      } else {
        showToast(res.data.msg);
        reject(err)
      }
    }
    .catch(err => {
      console.log(err);
      showToast("there is a mistake");
      reject()
    })
    .finally(() => {
      hideLoading(')
    })
  })
}
// 以上有个弊端,可能会多次调用
// 1. 可以添加个debounce + 缓存
// return promise or value
function withCache(delay) {
let cachePromise = null
let timer = ''
return function(target, name, descriptor) {
  let prevVal = descriptor.value
  descriptor.value = function(...args) {
    if (!timer) {
      timer = setTimeout(() => {
        timer = ''
      }, delay * 1000)
      cachePromise = prevVal
        .call(this, ...args)
        .then((res) => {
          cachePromise = res
        })
        .catch((err) => {})
      return cachePromise
    }

    return cachePromise
  }
  return descriptor
}
}

队列

class Queue {
constructor(namespace) {
  this.isPending = false
  this.namespace = namespace
  this.queue = []
  this.length = 0
}
add(item) {
  this.queue.push(item)
  this.length++
}
next() {
  const { makeReq, resolve, reject } = this.queue.shift()
  makeReq()
    .then((res) => {
      resolve(res)
    })
    .catch((err) => {
      reject(err)
    })
    .finally(() => {
      this.length--
    })
}
getLength() {
  return this.length
}
startPending() {
  this.isPending = true
}
stopPending() {
  this.isPending = false
}
autoRun() {
  while (this.length > 0) {
    this.next()
  }
}
}

const reqQueue = new Queue('reqQueue')

function makeReq(config) {
  // ...
  return new Promise((resolve, reject) => {
    showLoading('加载中')
    Taro.request(options)
    .then(async (res) => {
      if (res.data.code >= 200 && res.data.code < 300) {
        resolve(res.data)
      } else if(res.data.code === 401) {
         if (reqQueue.isPending) {
           reqQueue.startPending()
          reqQueue.add({ makeReq: () => makeReq(config), resolve, reject })
          return
        } else {
          autoLogin().then(res => {
            reqQueue.stopPending()
            console.log(reqQueue.namespace, reqQueue.queue)
            reqQueue.autoRun()
          })
        }
      } else {
        showToast(res.data.msg);
        reject(err)
      }
    }
    .catch(err => {
      console.log(err);
      showToast("there is a mistake");
      reject()
    })
    .finally(() => {
      hideLoading(')
    })
  })

}

更新用户信息

同注册, 可使用一个按钮,让用户主动更新,这样可以不需要每次都调用getuserinfo

https://juejin.cn/post/6844903641820708871
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
https://mp.weixin.qq.com/s/JBdC-G9MwaptFjQeD9ujeA

fullyouth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何为微信小程序添加在线客服和用户支持功能
qq_67153941的博客
04-06 148
在这个例子中,首先通过调用微信的获取access_token接口来获取到access_token,然后使用这个access_token调用客服消息接口发送消息给指定的用户。消息内容可以是文本、图片、语音等,这里以文本消息为例。在这个例子中,首先通过调用微信的获取access_token接口来获取到access_token,然后使用这个access_token调用模板消息接口发送消息给指定的用户。注意:调用客服消息和模板消息接口需要使用微信提供的access_token,并且每天有一定的限额,需要合理使用。
小程序授权登录学习
banquet79的博客
05-23 212
刚学小程序,原来的getUserInfo接口被改了,现在要通过定义button触发 一.index.wxm <button wx:if="{{canIUse}}" open-type="getUserInfo" bindgetuserinfo="bindGetUserInfo" >授权登录</button> <view wx:else>请升级微...
小白上路~微信小程序登录授权无法获取用户信息
Anicer1219的博客
04-05 6225
1. button 标签和 open-type=“getUserInfo” 获取用户信息失败 2. button 标签和 wx.getUserProfile() 获取用户授权信息成功
uniapp中的getUserInfo无法获取到用户信息的问题--解决办法
qq_36882279的博客
05-29 9079
uniapp中的getUserInfo无法获取到用户信息的问题–解决办法 在uniapp微信小程序开发中,2021-04-13之前获取用户信息的写法: <button type="default" open-type="getUserInfo" @getuserinfo="handleGetUserInfo">获取用户信息</button> <script> export default{ data(){ return { userInfo: {}
微信小程序:获取用户信息(昵称和头像)
彭世瑜的博客
02-26 8216
方式一:open-data展示用户信息不推荐 组件功能调整为优化用户体验,平台将于2022年2月21日24时起回收通过展示个人信息的能力。 如有使用该技术服务,请开发者及时对小程序进行调整,避免影响服务流程。查看详情: https://developers.weixin.qq.com/community/develop/doc/000e881c7046a8fa1f4d464105b001 <!-- 如果只是展示用户头像昵称,可以使用 <open-data /> 组件 --> &lt
小程序授权登录流程
weixin_52044297的博客
05-16 115
小程序授权登录流程 小程序授权登录用到了button
微信小程序授权登录(获取微信头像并显示)
从人到猿
05-25 1万+
本篇文章阐述了微信小程序是如何获取授权登录微信的,并且将显示微信头像
小程序授权登录
weixin_48904399的博客
11-27 2215
小程序授权登录 一、用户打开小程序判断是否授权 二、是否是新用户 三、本地是否有token 登录 一、调用wx.login() 小程序端通过调用wx.login()API,调用成功的话会在成功的回调里获取一个有时效的登录凭证code。 然后调用自家的服务器接口,把获取到的code传递给服务端。 wx.login({ success (res) { if (res.code) { //发起网络请求 wx.request({ url: 'https://tes
小程序各种姿势实现登录
03-29
结合自己的实践以及观察到其他小程序的做法,就有了这篇小分享~ 本文可能涉及的内容--   (此图片来源于网络,如有侵权,请联系删除! ) 本文的小程序登录指的是什么? 在本篇文章所讲的登录不仅仅指的是wx.login而是...
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
taro开发微信小程序实践
10-16
例如,Taro提供了与微信小程序API对应的封装,如网络请求、用户授权、数据存储等,使得开发者无需过多关注底层实现,而更专注于业务逻辑。 总结起来,Taro开发微信小程序实践主要涵盖了以下几个方面: 1. 开发...
微信小程序 调用微信授权窗口相关问题解决
12-04
微信小程序为了优化用户体验,取消了在进入小程序时立马出现授权窗口。需要用户主动点击按钮,触发授权窗口。 那么,在我实践过程中,出现了以下问题。 1. 无法弹出授权窗口 2. 希望在用户已经授权的情况下,不...
小程序快速入门.pdf
11-11
- **绑定开发者**:登录小程序管理后台,管理员需授权并添加其他开发者成员,以便团队协作。 - **获取AppID**:AppID是小程序的身份标识,是区分不同小程序的关键。 2. **快速体验**: - **创建小程序**:使用...
微信小程序授权登录流程
cz285933169的专栏
02-10 3990
什么是微信小程序登录?它的作用是什么?这篇文章你会了解到微信小程序登录流程。
微信小程序授权 getuserinfo 接口调整
热门推荐
学习-记录笔记-积累
05-18 3万+
使用 button 组件,并将 open-type 指定为 getUserInfo 类型,用户允许授权后,可获取用户基本信息 提示一下 wx.showModal({ title: '注意', showCancel: false, confirmText:'好去授权', content: '为了您更好的体验,请先同意授权', suc...
微信小程序中获取用户信息getUserInfo替换方案
诗渊的博客
08-05 5182
场景说明 我们在开发过程中,如果使用getUserInfo获取用户头像和昵称等用户信息时,会出现如下报错: (in promise) MiniProgramError {"errMsg":"getUserInfo:fail scope unauthorized"} Object 这是因为官方调整了获取用户信息的方法,详见https://developers.weixin.qq.com/community/develop/doc/0000a26e1aca6012e896a517556c01,在小程序中有两种
小程序3(注册App)
Dean_xiu的博客
03-02 198
生命周期函数的基础介绍 app.js里会存放一个App对象,里面绑定了一些生命周期函数,称为注册小程序 app.js里的内容 App({ /** * 当小程序初始化完成时,会触发 onLaunch(全局只触发一次) */ onLaunch: function () { console.log("初始化完成时回调") }, /** * 当小程序启动,或从...
微信小程序授权之getuserInfo
yyanglirong的博客
07-29 6836
小程序调用授权开发接口,getuserInfo时,外层必须是一个button按钮,且不能加点击事件
微信小程序如何进行登录授权和获取用户信息
浮生离梦的博客
03-11 4910
在 index.wxml 点击的 button 按钮中,去进行判断和获取。在button中,设置 open-type 的值 为 getUserInfo, open-type 是微信的开放能力,getUserInfo可以 获取用户信息和可以从bindgetuserinfo回调中获取到用户信息。给 button去绑定 bindgetuserinfo , bindgetuserinfo 去绑定 h...
springboot 小程序授权登录
最新发布
09-21
### 回答1: 对于springboot小程序授权登录,我可以为您提供一些指导...总的来说,Springboot小程序授权登录是通过调用微信API获取用户的OpenID和SessionKey,并结合Springboot框架实现用户登录授权功能的一种实践

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值