小程序登录 ,解决方案归类
从搜索 小程序 、登录等关键字出来的一大票文章来看,小程序node后台 登录实现 大致可以归为 2种解决方案。
这2种解决方案本质都是为了 解决“ 自定义登录状态与 openid,session_key的关联 ”
基于session的 传统cookie-session 解决方案:(也称有状态登录)
1. 这类解决方案的文章,大都会 提及 redis,3rd_session,sessionid 等关键字。 已经打概率会出现这张图:
2. 这类方案的解决流程主要是:
① 针对每一个用户 生成生成一个唯一字符串sessionid (该字符串也被叫做3rd_session)
② 以key-value形式的存储到 redis中 (比如 redisStore.set(sessionid,'{rsession_key:session_key, ropenId:openId}',过期时间)
)
③ 把 sessionid发送给小程序, 小程序存储到 storage 或 “cookie”,每次请求携带
④ 服务器每次通过 sessionid 鉴权
3. 这类解决方案的推荐文章:文章1,文章2,文章3,文章4
基于token 的 jwt解决方案:(也称无状态登录)
1. 这类解决方案的文章,大都会 提及 jsonwebtoken,express-jwt,secret,token 等关键字。
2. 这类方案的解决流程主要是:
① 通过jwt 对 openid 和 session_key 使用secret加密,生成token (这种情况下密匙是所有用户统一共享的 一个密匙–即对称签名 ) (如果使用session_key 作为secret 生成,可以针对每一个用户的 token–即非对称签名 ,但是这会涉及到 众多secret 的存储问题)
② 把 token发送给小程序
③ 小程序存储到 storage,每次请求携带token
header: {
Authorization: "Bearer "+token
},
④ 服务器每次通过 express-jwt 和 secret 验证token 有效性和时效性
4. 这类解决方案注意点 :如果为了简单方便,使用了jwt + 对称签名的方案,需要注意:
① 加密混淆 明文,token,secret 。因为 jwt.sign 生成的简单token 可以使用简单函数 直接得出明文(甚至不使用 jsonwebtoken):
jwt.sign({
wxcode: '1',
wxopenid: '2'
}, '3', {
expiresIn: '1h'
});
const token = '生成的token';
function parseJwt(token) {
var base64Url = token.split('.')[1];
var base64 = base64Url.replace(/-/g, '+').replace(/_/g, '/');
var jsonPayload = decodeURIComponent(atob(base64).split('').map(function (c) {
return '%' + ('00' + c.charCodeAt(0).toString(16)).slice(-2);
}).join(''));
return JSON.parse(jsonPayload);
};
console.log( parseJwt(token));
② 用户注销,修改密码问题, (因为使用的无状态的jwt + 对称签名,所以这些问题会比较麻烦)
最后要说的:
小程序 表现形式虽然基于微信,但是本质 和 app,网站一样。尤其是 小程序官方 在有意模仿app,比如 a,如果用户第一次拒绝授权,则无法直接再次打开授权框了,需要去授权列表开启;(用户信息授权等特殊情况除外)b,把小程序从授权列表删除,和把app从系统删除一样,所有的数据存储,登录状态,授权都被删除了。
同样,这2种授权方式同样也是 app,网站在 用户鉴权时 会遇到的一个 通用的问题 。