H5网页使用支付宝授权登录获取用户信息详解

最新推荐文章于 2024-06-22 15:59:07 发布
最新推荐文章于 2024-06-22 15:59:07 发布
阅读量2.6w 收藏 33
点赞数 1
分类专栏: HTML5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42363090/article/details/106639678
版权

用户信息授权

用户信息授权主要是为了获取支付宝用户ID(USER_ID)、授权令牌(access_token),便于开发者处理自身业务逻辑的时候使用,例如:获取支付宝用户信息、发会员卡、快捷登录等。授权支持多种场景,如:H5(需安装支付宝手机客户端)、PC、APP(可参考APP支付宝登录)。

PC授权页面示例:
undefined

H5授权页面示例:
image

若要实现用户信息授权功能,请按照下面的步骤实现即可。

一、应用设置

  1. 您需要先去支付宝开放平台(open.alipay.com),在开发者中心创建登记您的应用,此时您将获得应用唯一标识(APPID);
  2. 请在【功能信息】中点击【添加功能】,选择【获取会员信息】;
  3. 设置密钥(如下图);
  4. 设置授权回调地址(如下图),授权回调地址是用户授权结束后回跳的地址,用于接收用户授权的结果,如:授权、拿到auth_code,便于后续换取授权令牌(access_token)等;
  5. 提交审核,等待审核通过,该应用正式可以使用。

 需要详细了解开放平台创建应用步骤请参考《开放平台应用创建指南》。
image

图1 设置密钥、授权回调地址
 
image

添加功能【获取会员信息】
 
image

添加功能【获取会员信息】

二、搭建和配置开发环境

1. 下载服务端SDK
为了帮助开发者调用开放接口,我们提供了开放平台服务端SDK,包含JAVA、PHP和.NET三个语言版本,封装了签名&验签、HTTP接口请求等基础功能。请先下载对应语言版本的SDK并引入您的开发工程。
各语言版本服务端SDK详细使用说明,请参考《服务端SDK说明》。
2. 接口调用配置
在SDK调用前需要进行初始化,以Java代码为示例如下:

AlipayClient alipayClient = new DefaultAlipayClient(URL, APP_ID, APP_PRIVATE_KEY, FORMAT, CHARSET, ALIPAY_PUBLIC_KEY, SIGN_TYPE);

关键参数说明:

配置参数示例值解释获取方式/示例值
URL支付宝网关(固定)https://openapi.alipay.com/gateway.do
APPIDAPPID 即创建应用后生成获取见上面应用设置
APP_PRIVATE_KEY开发者私钥,由开发者自己生成获取详见上面应用设置
FORMAT参数返回格式,只支持jsonjson(固定)
CHARSET编码集,支持GBK/UTF-8开发者根据实际工程编码配置
ALIPAY_PUBLIC_KEY支付宝公钥,由支付宝生成获取详见上面应用设置
SIGN_TYPE商户生成签名字符串所使用的签名算法类型,目前支持RSA2和RSA,推荐使用RSA2RSA2

三、开发授权功能

授权完整流程如下:
image

需要开发的关键点是:获取auth_code、auth_code换取access_token与user_id、使用token完成其他业务处理,如token换取用户信息等。

第一步:URL拼接与scope详解

商户/开发者通过以下的 URL 拼接规则拼接用户授权的 URL 地址,该地址展示给用户,用户需在支付宝端点开 URL 地址,并点击授权,商户/开发者即可获得用户的授权。
url拼接规则:https://openauth.alipay.com/oauth2/publicAppAuthorize.htm?app_id=APPID&scope=SCOPE&redirect_uri=ENCODED_URL

TIPS:沙箱拼接规则详见关于沙箱

url参数说明

参数名是否必须长度描述
app_id16开发者应用的app_id; 相同支付宝账号下,不同的app_id获取的token切忌混用。
scope不定,取决于请求授权时scope个数接口权限值,目前只支持auth_user(获取用户信息网站支付宝登录)、auth_base(用户信息授权)、auth_ecard(商户会员卡)、auth_invoice_info(支付宝闪电开票)、auth_puc_charge(生活缴费)五个值;多个scope时用”,”分隔,如scope为”auth_user,auth_ecard”时,此时获取到的access_token,既可以用来获取用户信息,又可以给用户发送会员卡。
redirect_uri100授权回调地址,是经过URLENCODE转义 的url链接(url必须以http或者https开头); 在请求之前,开发者需要先到开发者中心对应应用内,配置授权回调地址。 redirect_uri与应用配置的授权回调地址域名部分必须一致。
state100商户自定义参数,用户授权后,重定向到redirect_uri时会原样回传给商户。 为防止CSRF攻击,建议开发者请求授权时传入state参数,该参数要做到既不可预测,又可以证明客户端和当前第三方网站的登录认证状态存在关联。

第二步:获取auth_code

当用户授权成功后,会跳转至开发者定义的回调页面,支付宝会在回调页面请求中加入参数,包括auth_code、app_id、scope等,支付宝请求开发者回调页面示例如下:

http或https打头的授权回调地址? app_id=2016032301002387 &scope=auth_user&auth_code=10e20498fe5d42f18427d893fc06WX59

关键返回参数说明:

参数名是否必须长度描述
app_id16开发者应用的app_id;相同支付宝账号下,不同的app_id获取的token切忌混用。
scope不定,取决于请求授权时scope个数成功授权的接口权限值,目前只支持auth_user(获取用户信息网站支付宝登录)、auth_base(用户信息授权)、auth_ecard(商户会员卡)、auth_invoice_info(支付宝闪电开票)、auth_puc_charge(生活缴费)五个值;多个scope时用“,”分隔,如scope为“auth_user,auth_ecard”时,此时获取到的access_token,既可以用来获取用户信息,又可以给用户发送会员卡
error_scope不定,少于请求授权时scope个数error_scope表示授权是失败的scope列表及对应的错误信息(错误列表之间用“
state100商户自定义参数,用户授权后,重定向到redirect_uri时会原样回传给商户。 为防止CSRF攻击,建议开发者请求授权时传入state参数,该参数要做到既不可预测,又可以证明客户端和当前第三方网站的登录认证状态存在关联。
auth_code目前为32,后期会根据安全策略适当调整,请勿限制该字段长度。临时授权码,一次性有效,同时若超过有效期未使用,则会失效。有效期目前至少为5分钟,最长为24小时。请获取auth_code后尽快通过调用alipay.system.oauth.token接口获取访问令牌

注意:其余返回字段无需关注。

第三步:auth_code换取access_token与user_id

通过接口 alipay.system.oauth.token 获取access_token及userId。
接口调用示例:

AlipayClient alipayClient = new DefaultAlipayClient("https://openapi.alipay.com/gateway.do", APP_ID, APP_PRIVATE_KEY, "json", CHARSET, ALIPAY_PUBLIC_KEY, "RSA2"); 
AlipaySystemOauthTokenRequest request = new AlipaySystemOauthTokenRequest();
request.setCode("2e4248c2f50b4653bf18ecee3466UC18");
request.setGrantType("authorization_code");
try {
    AlipaySystemOauthTokenResponse oauthTokenResponse = alipayClient.execute(request);
    System.out.println(oauthTokenResponse.getAccessToken());
	System.out.println(oauthTokenResponse.getUserId());
} catch (AlipayApiException e) {
    //处理异常
    e.printStackTrace();
}

至此,用户信息授权流程已结束,如果只想拿到user_id(支付宝用户唯一标识符),则无需看下一步。

第四步:使用access_token完成其他业务处理

开放平台的部分接口中需要依赖access_token才能执行的,因此为了拿到这个数据,需要执行以上的两个步骤才能换取到。
另外,不同的scopes的值对应的是不同的access_token,不同的token可调用不同的接口,token的效用也因此不一样,所以这些token切忌混用,具体的接口调用场景可参考:

获取会员信息
网站支付宝登录
商户会员卡 
支付宝闪电开票
APP支付宝登录
生活缴费

授权接入注意事项【必读】

1、用户授权auth_code

说明:
auth_code一次有效,auth_code有效期为3分钟到24小时(开放平台规则会根据具体的业务场景动态调整auth_code的有效期,但是不会低于3分钟,同时也不会超过24小时),超过有效期的auth_code即使未使用也将无法使用。
用户的每次授权动作都会生成一个新的auth_code。
建议:
基于安全考虑,开发者在获取auth_code(用户授权码)后应尽快调用alipay.system.oauth.token接口换取access_token(访问令牌)。

2、授权scope

说明:
scope为公开的资源,其使用不需要签约。
开发者可以在授权请求中包含一个或者多个用户授权范围,每个授权范围称为一个scope,一个scope包含若干个开放平台接口,请求的多个scope通过英文逗号分隔。
授权的流程是通用的,在不同的业务场景需要授权的范围不同,需要根据具体产品接入文档中指定的scope替换本文中的scope参数。

scope有效期:
这里的scope有效期和前面的auth_code有效期是两个概念。
scope的有效期会影响开发者最终获取到的access_token和refresh_token的有效期,不同scope的有效期请参考具体的产品文档。

建议:
为了产品体验考虑请按需请求需要的scope,过多的授权范围容易导致用户放弃授权。建议在做产品的登录场景中使用auth_base或者auth_user做用户引流,后续根据需要具体业务需要引导用户请求特定scope的用户授权。

3、access_token

有效期:
access_token取决于授权时指定的scope的有效期,如果授权时指定多个scope,最终的access_token的有效期取决于有效期最短的scope。
       access_token截止时间=(授权时间点)+(授权后调用alipay.system.oauth.token返回的expires_in)

令牌存储要求:

  • 确保access_token的安全保存;
  • 根据appId+uid+单个scope为索引保存access_token,否则会因为appid令牌混用和不同scope的令牌相互覆盖导致接口调用报错,若前后多次授权范围相同,仅保存授权截止时间最长的access_token即可。授权截止时间=授权时间点+alipay.system.oauth.token返回的expires_in。

注意:用户可以取消授权,取消后access_token即使在有效期也无法使用

4、刷新令牌

说明:
用auth_code调用alipay.system.oauth.token接口获取access_token时会返回一个refresh_token(刷新令牌),在refresh_token有效期内可以通过refresh_token同样调用alipay.system.oauth.token刷新一个新的access_token

有效期:
refresh_token取决于授权时指定的scope的有效期,如果授权时指定多个scope,最终的refresh_token的有效期取决于有效期最短的scope。
refresh_token截止时间=(调用alipay.system.oauth.token的时间+alipay.system.oauth.token返回的re_expires_in)

使用:
使用refresh_token调用alipay.system.oauth.token
刷新后可以得到一个新的access_token,access_token截止时间重新计算(对应可以看到expires_in不会变),原来的accesss_token会立即失效;同时会得到一个新的refresh_token,原来的refresh_token会失效,新refresh_token截止时间不会重新计算(对应可以看到re_expires_in会减少)

注意:用户可以取消授权,取消后refresh_token即使在有效期也无法使用

授权登录安全建议

若你希望通过支付宝授权进行平台登录,同时为了让登录服务享受支付宝的安全能力,需要你在接入授权时做一些校验和处理,强烈建议做如下处理:

state防止CSRF

在 拼接授权链接做用户授权,在拼接链接中提供state参数(该参数的值需要和用户在开发者网站会话有绑定关系,同时保证一次性有效),在授权后支付宝回跳商户地址时会将该参数原样返回。在以下情况开发者应该拒绝服务:回跳链接中无state参数或者state的值与开发者平台session中记录的state参数不一致。state格式:不超过100长度的base64字符。

Referer校验

在浏览器的授权回跳地址的处理逻辑中做Http的Referer校验,目前蚂蚁金服授权产品的域名均在alipay.com下,建议将此配置做成可配置的。

授权回调地址建议

1、条件允许的情况下回跳地址强制要求https。推荐使用阿里云证书服务(阿里云提供免费的证书服务,只需要您有自己的域名即可使用);
2、开放平台授权地址配置时仅使用不带参数的地址,防止字符集问题导致的业务失败。需要的业务参数可以统一通过state参数传递;
3、尽量保证授权回调地址页面本身的安全性,包括但不限于页面所在服务器自身的安全性等。

刺心疯
关注
  • 1
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
html唤起支付宝授权,alipay.system.oauth.token(换取授权访问令牌)
weixin_29601703的博客
06-11 3131
alipay.system.oauth.token(换取授权访问令牌)[TOC]公共参数请求地址公共请求参数参数类型是否必填最大长度描述示例值app_idString是32支付宝分配给开发者的应用ID2014072300007148methodString是128接口名称alipay.system.oauth.tokenformatString否40仅支持JSONJSONcharsetString...
微信开发之网页授权获取用户信息(二)
10-23
本文给大家阐述的微信开发基于yii2.0框架,对微信开发之网页授权获取用户信息相关知识感兴趣的朋友通过本文学习吧
支付宝移动端H5授权实现自动登录
pywanggui的博客
09-28 6641
当用户通过支付宝打开H5页面时,避免重复登录,实现授权登录的功能 授权开发文档页面https://docs.open.alipay.com/289/105656 授权流程 在支付宝开放平台【功能信息】中点击【添加功能】,选择【获取会员信息】 然后确认支付宝的APPID,设置回调网关. 第一步:URL拼接 商户/开发者通过以下的 URL 拼接规则拼接用户授权的 URL 地址,该地址展示给用户,用户...
支付宝授权登陆demo
08-03
支付宝授权登陆demo支付宝授权登陆demo支付宝授权登陆demo支付宝授权登陆demo支付宝授权登陆demo
uniapp——H5添加支付宝授权登录,报错:系统异常,请联系商家。REDIRECT_URI_ILLEAGAL
最新发布
努力、拼搏、奋进
06-22 439
uniapp——H5添加支付宝授权登录,报错:系统异常,请联系商家。REDIRECT_URI_ILLEAGAL
uniapp微信h5授权获取用户openId的方法和步骤,用于用户登录和注册
01-26
微信h5授权获取用户openId的方法和步骤,用于用户登录和注册,代码已经封装好,下载就能用
H5唤醒支付宝登录授权
热门推荐
qq_39140630的博客
05-22 4万+
alipays://platformapi/startapp?appId=20000067&url=你的授权地址(一定要URL编码过的地址) 手机端访问这个地址就能唤醒支付宝授权
支付宝网页授权登录
myinsert的博客
03-16 4653
沙箱环境 网页授权获取 auth_code 获取 access_token 和 userId 获取用户信息 SDK 下载地址 APPID获取地址 支付宝生活号注册 <dependency> <groupId>com.alipay.sdk</groupId> <artifactId>alipay-sdk-java</artifactId> <version>4.11.66.ALL</version&g.
AlipaySDKNet.zip
09-21
.net 低版本区别于.net core的支付宝支付,敏感信息加解密,统一下单,退款,查询订单,等相关操作方法,具体可翻阅官方文档查看
小程序授权支付宝(证书模式)
lh_mnbj的博客
12-18 2891
最近有点忙,一直没有更新支付宝如何利用证书模式来进行授权的,今天正好有点时间,对支付宝证书模式授权做一下记录,前段时间,我在一篇博文中说明了支付宝普通公钥如何进行授权,在此,一些创建小程序,配置问题不再细作说明,感兴趣的朋友可以查看小程序授权支付宝(普通公钥) 证书模式相较于普通公钥模式安全性更高,对此,官方做了明确说明,在需要调用资金变动类接口时必须使用证书模式,可以根据业务需求选择相应的模式 1.下载安装密钥生成器 在下图中选择生成密钥之后,需要获取CSR文件,而不是上传公钥 之后,将获取的CSR
支付宝通过网页授权获取assceToken和userId
枸杞泡茶的博客
11-26 1万+
在这里为了方便我使用沙箱环境做演示,各位也可以申请自己的沙箱,地址:https://openhome.alipay.com/platform/appDaily.htm?tab=info 在这里我就直接进入主题,[]配置rsa密钥这些基础的事情就不做重复了.不懂的直接参考官方的文档说明:https://docs.open.alipay.com/284/106001/ 下图引入官方的...
支付宝小程序开发系列二: 获取支付宝用户user_id(.net)
欧巴酱的CSDN
09-21 3252
第一步:获取授权码信息 my.getAuthCode({ scopes: 'auth_base', success: (res) => { // res.authCode //发送授权码到服务后台进行解析 } }); 第二步:解析授权码(SDK:) /// <su.
微信h5静默和非静默授权获取用户openId的方法和步骤
10-15
主要介绍了微信h5静默和非静默授权获取用户openId的方法和步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
微信网页授权获取用户信息的方法
12-04
在很多微信H5应用里,当用户访问第三方应用时就需要进行微信网页授权,并且很多涉及安全的操作我们必须要先获取用户信息才能继续,本文章简单介绍了微信授权流程,并通过申请微信测试账号来模拟网页授权,用户在授权...
vue基于html5plus的微信授权登录获取微信用户信息代码
10-23
vue基于html5plus的微信授权登录获取微信用户信息代码,里面是一个vue文件,放进项目就能用
通过用户授权登录带你了解支付宝小程序云开发流程
weixin_52312427的博客
12-15 468
流程目录前言什么是支付宝小程序云开发支付宝小程序云开发的优势一、开发前云环境准备工作1、首选你应该有一个云环境2、配置云环境第一、开启HTTP访问服务。第二、云调用开放接口服务与授权。二、进行开发工作1、新建一个云数据库集合2、配置代码层的云开发3、同步当前云环境4、 新建云函数三、案例代码axml文件acss文件云函数NoSqlAdd云函数queryNoCondition四、下期:支付宝用户登陆业务流程与详情开发 前言 什么是支付宝小程序云开发 支付宝小程序云开发是基于 Serverless 的一站式小程
H5项目调用微信授权并实现登录功能
weixin_36989919的博客
04-16 5518
工作之余项目开发心得# #工作经验之谈#无独有偶,在现在所在的项目上也是被咨询到这个问题——如何在h5项目(嵌入到原生里面)上获取微信授权并且实现授权登录、分享图文以及实现分享链接。
支付宝手机端H5授权登录和支付(asp.net core)
soband_xiang的专栏
12-12 1万+
最近做一个项目,先后用到了微信和支付宝授权登录和支付功能。 支付宝的流程相对简单一些,但是也不是很详细,网上找的说法都不太一致,走了很多坑。这里记录一下: 官网的.net demo还停留在.net framework 3.5时代。  好在有个大牛写了一个.net core版本的库 Alipay.AopSdk.AspnetCore,在github可以找到。接口和官方一致。 准备工作:  要在...
支付宝生活号获取用户授权
strawberry sweet
09-29 1万+
支付宝官方文档:https://opendocs.alipay.com/fw/api/105942 1、用户授权,拼接的url,如下: 获取用户信息授权scope=auth_user: https://openauth.alipay.com/oauth2/publicAppAuthorize.htm?app_id=APPID&scope=auth_user&redirect_uri=ENCODED_URL?state=STATE 业务页面使用的静默授权scope=aut..
微信h5网页授权获取用户基本信息
09-02
微信H5网页授权是指在使用微信浏览器访问H5网页时通过微信授权登录获取用户的基本信息。这个过程分为三个步骤:引导用户授权获取授权码、通过授权获取用户信息。 首先,用户进入H5网页后,网页需要引导用户进行授权登录网页可以通过调用微信JS-SDK中的微信授权接口,弹出微信授权登录的窗口。用户点击确认后,微信会生成一个授权码,并跳转回H5网页。 然后,网页需要使用授权码去微信服务器获取用户的基本信息。网页可以通过HTTP请求,将授权码发送给微信服务器的接口,并附上AppID和AppSecret等参数。微信服务器验证授权码的有效性后,会返回用户的基本信息,如openid、昵称、头像等。 最后,网页可以根据获取的用户基本信息,进行相应的业务操作。比如显示用户的头像和昵称,或者根据openid等唯一标识,将用户与其它业务系统进行关联。 需要注意的是,进行微信H5网页授权需要先申请微信开放平台的开发者账号,并创建一个公众号或移动应用。通过在微信开放平台进行配置,获取AppID和AppSecret等必要的参数,用于网页授权的流程中。 总结起来,微信H5网页授权获取用户基本信息是通过使用微信的授权接口,引导用户进行授权登录,再通过授权码和微信服务器进行交互,最终获取用户的基本信息。这个过程可以实现在H5网页使用微信账号登录,并获取用户信息的功能。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刺心疯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值