小程序登录流程（三个角色+四个步骤）

1.三个角色

• 小程序（经由微信开发者工具精心创建）
• 开发者服务器（本地部署的服务器）
• 微信接口服务（由微信官方稳定提供）

2.四个步骤

• 小程序通过 wx.login 获取 code，然后将 code 发送到开发者服务器。
• 开发者服务器使用 code ，appid 和 appsecret 向微信接口服务请求 session_key 和 openid。
• 开发者服务器根据 openid 和其他信息生成一个自定义的 token，并将其返回给小程序。
• 小程序保存这个 token，并在后续的请求中使用它来进行身份验证。

3.流程图

4.详细流程

1. 小程序调用 wx.login() 获得临时登录凭证 code：
   • 用户在小程序中触发登录操作（如点击登录按钮）。
   • 小程序调用 wx.login() 接口，微信服务器返回临时的登录凭证 code。
2. 小程序将 code 发送给开发者服务器：
   • 小程序通过 wx.request 方法，将 code 发送到开发者自己的服务器上的登录接口（如 /login）。
3. 开发者服务器向微信接口服务请求 session_key 和 openid：
   • 开发者服务器接收到 code 后，结合自己的 appID 和 appSecret，向微信接口服务（https://api.weixin.qq.com/sns/jscode2session）发送请求。
   • 微信接口服务验证 code 的有效性，并返回 session_key、openid 和 unionid（如果有）给开发者服务器。
4. 开发者服务器生成自定义 token 并返回给小程序：
   • 开发者服务器在数据库中存储 session_key、openid 等信息，并可能生成一个自定义的 token（通常包含 openid 和加密签名）。
   • 开发者服务器将 token 返回给小程序。
5. 小程序保存 token：
   • 小程序接收到 token 后，将其保存在全局变量 globalData 中，并使用 wx.setStorageSync 方法将其存储在本地。
6. 小程序启动时检查登录状态：
   • 小程序启动时，首先检查 globalData 中是否有 token。
   • 如果没有 token，则尝试从本地存储中读取。
   • 如果本地存储中也没有 token，则发起登录请求（如跳转到登录页面或显示登录按钮）。
   • 如果 globalData 中有 token，则发起请求到开发者服务器验证 token 的有效性。
   • 开发者服务器验证 token 后，返回验证结果给小程序。
   • 根据验证结果，小程序更新用户的登录状态。

5.为啥需要借助 开发者服务器 和 微信接口服务(安全性+可维护性)

• appid 和 appsecret 是你的小程序的身份标识和密钥，它们非常敏感，不应该在客户端（即小程序前端）直接暴露。
• 如果将 appid 和 appsecret 放在小程序代码中，并通过 wx.request 直接向 https://api.weixin.qq.com/sns/jscode2session 发送请求，那么任何能够访问小程序代码的人（比如通过反编译）都能获取到这些敏感信息，进而可能滥用它们。

• 当需要更改 appid 或 appsecret 时，在服务器端更新比在客户端更新更为便捷。此外，对于业务逻辑的调整也可以更加灵活地在服务器端完成，而无需重新发布整个应用。

• 日志记录和监控：所有通过服务器转发到微信接口的请求都可以被记录下来，这有助于后续的问题排查、性能优化以及安全审计。