小程序登录授权实践

最新推荐文章于 2023-02-10 22:50:54 发布
最新推荐文章于 2023-02-10 22:50:54 发布
阅读量297 收藏 1
点赞数
分类专栏: 前端 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31325079/article/details/115315293
版权

小程序登录授权实践

1. 概念

  1. unionId
  2. openId
  3. session_key
  4. access_token

1.1. unionId

如果开发者拥有多个移动应用、网站应用、和公众帐号(包括小程序),可通过 UnionID 来区分用户的唯一性,因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号(包括小程序),用户的 UnionID 是唯一的。
换句话说,同一用户,对同一个微信开放平台下的不同应用,UnionID是相同的。

获取途径
绑定了开发者帐号的小程序,可以通过以下途径获取 UnionID。

  1. 开发者可以直接通过 wx.login + code2Session 获取到该用户 UnionID,无须用户授权。
  2. 小程序端调用云函数时,可在云函数中通过 cloud.getWXContext 获取 UnionID。
  3. wx.getUserInfo 得到 encryptedData iv 解密然后使用session key 解密

1.2. openId

理解为 openId = hash(unionId + appid)

获取
wx.login() => (code) => return sesson key + openid

1.3. session_key

用于解密 getUserInfo返回的敏感数据。
获取wx.login() => (code) => return sesson key + openid

1.4. access_token

小程序全局唯一后台接口调用凭据(access_token)。调用绝大多数后台接口时都需使用 access_token

2. API

2.1. wx.login

() => code

2.2. wx.getUserInfo

获取用户信息 调用前需要 用户授权 scope.userInfo
参数

属性说明
withCredentials是否带上登录态信息。当 withCredentials 为 true 时,要求此前有调用过 wx.login 且登录态尚未过期,此时返回的数据会包含 encryptedData, iv 等敏感信息;当 withCredentials 为 false 时,不要求有登录态,返回的数据不包含 encryptedData, iv 等敏感信息。

返回值

属性说明
userInfo用户信息对象,不包含 openid 等敏感信息
rawData不包括敏感信息的原始数据字符串,用于计算签名
signature使用 sha1( rawData + sessionkey ) 得到字符串,用于校验用户信息
encryptedData包括敏感数据在内的完整用户信息的加密数据
iv加密算法的初始向量
cloudID敏感数据对应的云 ID,开通云开发的小程序才会返回,可通过云调用直接获取开放数据

2.3. 服务端API:auth.getAccessToken()

获取小程序全局唯一后台接口调用凭据(access_token)。调用绝大多数后台接口时都需使用 access_token,开发者需要进行妥善保存。
(grant_type = 'client_credential', appid, secret) => { access_token, expires_in }

2.4. 服务端API:auth.code2Session()

(appid, secret, js_code, grant_type = 'authorization_code') => { openid, session_key, ?unionid }
注意:用户在开放平台的唯一标识符,在满足 UnionID 下发条件的情况下会返回unionid, 否则需要授权getuserinfo

3. 授权

在这里插入图片描述

  1. 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器
  2. 开发者服务器调用 auth.code2Session 接口,换取 用户唯一标识 OpenID,用户在微信开放平台帐号下的唯一标识UnionID若当前小程序已绑定到微信开放平台帐号) 和 会话密钥 session_key
  3. 之后开发者服务器可以根据用户标识来生成自定义登录态,用于后续业务逻辑中前后端交互时识别用户身份。

:::warning

  1. 会话密钥 session_key 是对用户数据进行 加密签名 的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。
  2. 临时登录凭证 code 只能使用一次
    :::

4. 情景分析

情景1: 新用户

需要注册:wx.getUserInfo => userInfo / iv / encryptedData
登录 wx.login => code => token / session key
服务端根据session key + iv + encryptedData => unionid / openid

情景2: 老用户,但是微信没有缓存信息

服务端需要知道是谁 这里的标识是token
登录 wx.login => code => token / session key
如果需要更新用户信息,就需要重新wx.getUserInfo => userInfo / iv / encryptedData

情景3:老用户,有缓存信息,但是token失效

重新获取token的过程 wx.login => code => token / session key

5. 最佳实践

我们手上的工具

  1. 获取用户信息
    流程:用户授权 => getUserInfo => userInfo / rawData(iv / encryptedData)
  2. 获取token
    流程:wx.login => code => openId | session key
  3. 获取unionID
    流程:获取token(session) + 获取用户信息(rawData) => unionID
  4. openId
    流程:获取token

注册

获取token + 获取unionID

方案:一个专门的注册页面来做,正常体验

<AtButton
  type='primary'
  lang='zh_CN'
  openType='getUserInfo'
  onGetUserInfo={this.handleGetUserInfo}
>
  立即登录
</AtButton>

handleGetUserInfo(res) {
  const loginParams = res.detail
  // 获取 userinfo rawData 以及校验信息 iv, encryptedData  
  // signature = hash(rawData + session key)  session key下面可以获取到
  const { iv, encryptedData, rawData, signature, userInfo } = loginParams
  if (!iv || !encryptedData) {
    Taro.showModal({
      title: '授权提示',
      content: `需要您的授权才能购物`,
      showCancel: false,
      confirmText: '知道啦'
    })
    return
  }
  // 获取code 服务端可以用拿到新的session key 来解密
  let code = ''
  try {
    const result = await Taro.login()
    code = result.code
  } catch (e) {
    console.log(e)
    return Taro.showToast({
      title: '微信授权失败,可能微信版本过低',
      icon: 'none'
    })
  }
  // 注册 校验和解密用户信息 
  let params = {
   code,
   iv,
   encrypted_data: encryptedData,
   rawData,
   signature,
   userInfo
 }
  const { access_token, is_user, nickName, union_id, open_id } = await api.wx.login(params)
  // ...
}

登录

获取token

async function autoLogin() {
  const { code } = await Taro.login()
  const { access_token } = await api.wx.login({ code })
  if (!access_token) throw new Error(`token is not defined: ${access_token}`)
  return access_token
}

token失效

获取token
方案:队列 或者 缓存,做到静默登录

@withCache(10)
function makeReq(config) {
  // ...
  return new Promise((resolve, reject) => {
    showLoading('加载中')
    Taro.request(options)
    .then(async (res) => {
      if (res.data.code >= 200 && res.data.code < 300) {
        resolve(res.data)
      } else if(res.data.code === 401) {
        await autoLogin()
        const data = await makeReq(config)
        resolve(data)
      } else {
        showToast(res.data.msg);
        reject(err)
      }
    }
    .catch(err => {
      console.log(err);
      showToast("there is a mistake");
      reject()
    })
    .finally(() => {
      hideLoading(')
    })
  })
}
// 以上有个弊端,可能会多次调用
// 1. 可以添加个debounce + 缓存
// return promise or value
function withCache(delay) {
let cachePromise = null
let timer = ''
return function(target, name, descriptor) {
  let prevVal = descriptor.value
  descriptor.value = function(...args) {
    if (!timer) {
      timer = setTimeout(() => {
        timer = ''
      }, delay * 1000)
      cachePromise = prevVal
        .call(this, ...args)
        .then((res) => {
          cachePromise = res
        })
        .catch((err) => {})
      return cachePromise
    }

    return cachePromise
  }
  return descriptor
}
}

队列

class Queue {
constructor(namespace) {
  this.isPending = false
  this.namespace = namespace
  this.queue = []
  this.length = 0
}
add(item) {
  this.queue.push(item)
  this.length++
}
next() {
  const { makeReq, resolve, reject } = this.queue.shift()
  makeReq()
    .then((res) => {
      resolve(res)
    })
    .catch((err) => {
      reject(err)
    })
    .finally(() => {
      this.length--
    })
}
getLength() {
  return this.length
}
startPending() {
  this.isPending = true
}
stopPending() {
  this.isPending = false
}
autoRun() {
  while (this.length > 0) {
    this.next()
  }
}
}

const reqQueue = new Queue('reqQueue')

function makeReq(config) {
  // ...
  return new Promise((resolve, reject) => {
    showLoading('加载中')
    Taro.request(options)
    .then(async (res) => {
      if (res.data.code >= 200 && res.data.code < 300) {
        resolve(res.data)
      } else if(res.data.code === 401) {
         if (reqQueue.isPending) {
           reqQueue.startPending()
          reqQueue.add({ makeReq: () => makeReq(config), resolve, reject })
          return
        } else {
          autoLogin().then(res => {
            reqQueue.stopPending()
            console.log(reqQueue.namespace, reqQueue.queue)
            reqQueue.autoRun()
          })
        }
      } else {
        showToast(res.data.msg);
        reject(err)
      }
    }
    .catch(err => {
      console.log(err);
      showToast("there is a mistake");
      reject()
    })
    .finally(() => {
      hideLoading(')
    })
  })

}

更新用户信息

同注册, 可使用一个按钮,让用户主动更新,这样可以不需要每次都调用getuserinfo

https://juejin.cn/post/6844903641820708871
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html
https://mp.weixin.qq.com/s/JBdC-G9MwaptFjQeD9ujeA

fullyouth
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何为微信小程序添加在线客服和用户支持功能
qq_67153941的博客
04-06 148
在这个例子中,首先通过调用微信的获取access_token接口来获取到access_token,然后使用这个access_token调用客服消息接口发送消息给指定的用户。消息内容可以是文本、图片、语音等,这里以文本消息为例。在这个例子中,首先通过调用微信的获取access_token接口来获取到access_token,然后使用这个access_token调用模板消息接口发送消息给指定的用户。注意:调用客服消息和模板消息接口需要使用微信提供的access_token,并且每天有一定的限额,需要合理使用。
【微信小程序学习】获取用户基本信息
qiaoyangla的博客
05-10 502
1、用户未授权(首次登录) button open-type='getUserInfo' 2、用户已经授权(再次登录) wx.getUserInfo html文件: <view class="indexContainer"> <image wx:if='{{userInfo.avatarUrl}}' class="avatarUrl" src="{{userInfo.avatarUrl}}"></image> <button wx:e.
【实战】小程序授权登录的最佳实践(一)
weixin_30488313的博客
05-15 221
关于微信小程序授权登录的最佳实践,我觉得最重要的一点是:在满足需求的情况下,不侵入业务逻辑。 源码详见/src/request/ 所以,首先需要搞清楚有哪些需求。(注:本文只针对小程序原生框架) 对于大部分应用,并不是所有页面/接口都需要登录才可访问,这就要求登录功能需要实现:仅在需要登录的时候,中断业务,进入登录流程,登录成功则自动进行之前中断的业务(这很重要),失败则提示错误信息,如...
微信小程序授权登录流程
cz285933169的专栏
02-10 3989
什么是微信小程序登录?它的作用是什么?这篇文章你会了解到微信小程序登录流程。
Spring Boot+微信小程序_保存微信登录者的个人信息
y6123236的专栏
05-16 2217
1. 前言 微信小程序开发平台,提供有一类 API,可以让开发者获取到微信登录用户的个人数据。这类 API 统称为开放接口。 Tip:微信小程序开发平台,会把微信登录用户的个人信息分为明文数据和敏感数据。 明文数据也称为公开数据,开发者可以直接获取到,如登录者的昵称、头像…… 敏感数据如电话号码、唯一标识符……等数据,只有高级认证开发者和经过登录授权后才能解密获取到。 这一类 API较多,且 API之间功能有重叠之处,相互之间的区别较微小。有的适用于低版本,有的适用于高版本。 为了避免在使用时出现选择
NameError: name ‘xxx‘ is not defined问题总结
热门推荐
le000426的博客
12-21 15万+
最近在使用python写实验遇到这个问题: NameError: name ‘xxx’ is not defined 在学习python或者在使用python的过程中这个问题大家肯定都遇到过,在这里我就这个问题总结以下几种情况: 错误NameError: name ‘xxx’ is not defined总结 情况一:要加双引号(" ")或者(’ ')而没加 情况二:字符缩进格式的问题 情况三:if __name__=='__main__' : 没有和class类进行对齐 情况四:NameError: na
小程序各种姿势实现登录
03-29
结合自己的实践以及观察到其他小程序的做法,就有了这篇小分享~ 本文可能涉及的内容--   (此图片来源于网络,如有侵权,请联系删除! ) 本文的小程序登录指的是什么? 在本篇文章所讲的登录不仅仅指的是wx.login而是...
springboot +安全+ jwt +复述,实现微信小程序登录及令牌权限鉴定
01-27
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定 tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) @[TOC] 项目配置 依赖 <groupId>org.spring...
taro开发微信小程序实践
10-16
例如,Taro提供了与微信小程序API对应的封装,如网络请求、用户授权、数据存储等,使得开发者无需过多关注底层实现,而更专注于业务逻辑。 总结起来,Taro开发微信小程序实践主要涵盖了以下几个方面: 1. 开发...
微信小程序 调用微信授权窗口相关问题解决
12-04
微信小程序为了优化用户体验,取消了在进入小程序时立马出现授权窗口。需要用户主动点击按钮,触发授权窗口。 那么,在我实践过程中,出现了以下问题。 1. 无法弹出授权窗口 2. 希望在用户已经授权的情况下,不...
小程序快速入门.pdf
11-11
- **绑定开发者**:登录小程序管理后台,管理员需授权并添加其他开发者成员,以便团队协作。 - **获取AppID**:AppID是小程序的身份标识,是区分不同小程序的关键。 2. **快速体验**: - **创建小程序**:使用...
微信小程序登录鉴权
m0_49471668的博客
12-31 1749
其实是出于安全性的考量,如果我们在前端通过request调用此接口,就不可避免的需要将我们小程序的appid和小程序的secret暴露在外部,同时也将微信服务端下发的session_key暴露给“有心之人”,这就给我们的业务安全带来极大的风险。每个用户在每个应用的openId都是不一致的,所以在小程序里,我们可以用openid来标识用户的唯一性。appId是微信小程序的应用标识,即application Identification,每个小程序都会有一个appId,跟人的身份证一样。
微信小程序登陆,后端接口实现 - springboot
前后端分离,人不分离!
01-16 1万+
微信小程序,使用微信账号快速登录
微信小程序登录最佳实践
yuange
01-28 674
app.js 1检查本地是不是有openid,如果没后那么去获取 2为什么需要openid ?因为在后续对微信的接口的调用会用到,比如支付,比如地图之类的。 const config = require("./utils/config.js") App({ onLaunch: function () { let that = this; that.checkOpen...
微信小程序授权登录获取用户信息详解
码小呆的博客
09-11 5万+
今天来说一下微信小程序授权登录获取用户信息,首先我们看微信提供的小程序开发文档: https://blog.csdn.net/qq_41971087/article/details/82466647 微信登录的流程和步骤: 步骤:(个人): 第一步:微信小程序调用login和getUserInfo(),拿到code和encryptedData,iv,传入到后台进行业务处理 第二步:......
“Name 'raw_input' is not defined”解决方案
nenming20020914的博客
04-15 8590
“Name ‘raw_input’ is not defined”解决方案 在学习《机器学习实战》的过程中,遇到上述问题。 报错原因 “raw_input”在python3中不支持导致报错。 解决办法 python3使用input代替raw_input即可。 ...
通过微信小程序openid 发送关联公众号消息
judicator0301的博客
01-14 1054
1 获取小程序appid 和secret 2 获取小程序AccessToken 参数是小程序的appid 和appsecret GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET 3 使用小程序的统一服务消息 请求地址 POST https://api.weixin.qq.com/cgi-bin/message/wxopen/temp
springboot 小程序授权登录
最新发布
09-21
### 回答1: 对于springboot小程序授权登录,我可以为您提供一些指导...总的来说,Springboot小程序授权登录是通过调用微信API获取用户的OpenID和SessionKey,并结合Springboot框架实现用户登录授权功能的一种实践

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值