網站應用微信登入開發
阿新 • • 發佈:2018-12-10
一、授權流程
微信OAuth2.0授權登入讓微信使用者使用微信省份安全登入第三方應用或網站,在微信使用者授權登入已接入微信OAuth2.0的第三方應用後,第三方可以獲取到使用者的介面呼叫憑證(access_token),通過access_token可以進行微信開發平臺授權關係介面呼叫,從而可實現獲取微信使用者基本開放資訊和幫助使用者實現基本開放功能等。
1.第三方發起微信授權登入請求,微信使用者允許授權第三方應用後,微信會拉起應用或重定向到第三方網站,請求帶上授權臨時票據code引數
2.通過code引數加上APPID和APPSecret等,通過API換區access_token
3.通過access_token進行解救呼叫,獲取使用者基本資料資源或幫助使用者實現基本操作。
二、請求code
1.第三方使用網站應用授權登入前請注意已獲取相應網頁授權作用域(scope=snsapi_login)。
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
1.appid 是 應用唯一標識
2.redirect_uri 是 請使用urlEncode對連結進行處理
3.response—_type 是 填code
4.scope 是 應用授權作用域,擁有多個作用於用(,)逗號分隔開,網頁應用目前僅填寫snsapi_login
5.state 否 用於保持請求和回撥的狀態,授權請求後原樣帶回給第三方,該引數可使用者防止csrf攻擊(跨站請求偽造攻擊),建議第三方帶上該引數,可設定為簡單的數加session進行校驗
2.返回:使用者允許授權後,將會重定向到redirect_uri的網址上,並且帶上code和state引數,若使用者禁止授權,則重定向後不會帶code引數,僅會帶上state引數
三、第二種微信掃碼授權登入
為了滿足網站更定製化的需求我們還提供了第二種獲取code的方式,支援網站將微信登入二維碼內嵌到自己的網頁中,使用者使用微信掃碼授權後通過JS將code返回給網站
JS微信登入的主要用途:網站希望使用者在網站內就能完成登入,無需跳轉到微信域下登入後再返回,提升微信登入的流暢性和成功率。網站內嵌二維碼微信登入JS實現辦法
1.在頁面中先引入JS檔案(支援Https)http://res.wx.qq.com/connect/zh_CN/htmledition/js/wxLogin.js
2.在需要使用微信登入的地方例項以下JS物件:
var obj = new WxLogin({
self_redirect:true,
id:"login_container",
appid: "",
scope: "",
redirect_uri: "",
state: "",
style: "",
href: ""
});
self_redirect 否 true:手機點選確認登入後可以在iframe內跳轉到redirect——uri,false:手機點選確認登入後可在iframe內跳轉到redirect_uri,false:手機點選確認登入後可以在top window 跳轉到redirect_uri。預設false
id 是 第三方頁面實現二維碼的容器id
appid 是 應用唯一標識,在微信開放平臺提交應用稽核通過後獲得
scope 是 應用授權作用域,擁有多個作用域用逗號(,)分隔,網頁應用目前僅填寫snsapi_login即可
REDIRECT_URI 重定向地址,需要進行URLEncode
state 否 用於保持請求和回撥的狀態,授權請求後原樣帶回給第三方。該引數可以用於防止csrf攻擊(跨站請求偽造攻擊),建議第三方帶上該引數,可設定為簡單的隨機數加session進行校驗
style 否 提供"balck"、"white"可選,預設為黑色文字描述。
href 否 自定義樣式銜接,第三方可根據實際需求覆蓋預設樣式
3.通過code獲取access_token https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
appid 是 應用唯一標識,微信開放平臺日膠應用稽核通過後獲得
secret 是 應用金鑰AppSecret,在微信開放平臺提交應用稽核後獲得
code 是 填寫第一步獲取的code引數
grant_type 是 填authorization_code
4.返回值 {
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE",
"unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"
}
access_token 介面呼叫憑證
expires_in access_token介面呼叫憑證超時時間,單位(秒)
refresh_in 使用者重新整理access_token
openid 授權使用者唯一標識
scope 使用者授權的作用域,使用逗號(,)分隔
unionid 當且僅當該網站應用已獲取該使用者的userinfo授權時,才會出現該欄位
錯誤返回樣例:{"errcode":40029,"errmsg":"invalid code"}
5.重新整理access_token有效期
access_token是呼叫授權關係介面的呼叫憑證,由於access_token有效期(目前為2個小時)較短,當access_token超時後,可以使用refresh_token進行重新整理,access_token重新整理結構有兩種
1.若access_token已超時,那麼進行refresh_token獲取一個新的access_token,新的超時時間
2.若access_token未超時,那麼進行refresh_token不會改變access_token,但超時時間會重新整理,相當於續期access_token
注:refresh_token擁有較長的有效期(30天),當refresh_token失效的後,需要使用者重新授權。
6.請求方法
獲取第一步的code後,請求一下連結進行refresh_token
appid 是 應用唯一標識
grant_typr 是 填refresh_token
refresh_token 是 填寫通過access_token獲取到的refresh_token引數
正確的返回:{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
access_token 介面呼叫憑證
expires_in access_token介面呼叫憑證超時時間,單位(秒)
refresh_token 使用者重新整理access_token
openid 授權使用者唯一標識
scope 使用者授權的作用域,使用逗號(,)分隔
錯伏返回樣例: {"errcode":40030,"errmsg":"invalid refresh_token"}
7.注意事項
1.Appsecret是應用介面使用密匙,洩露後將可能導致應用資料洩露、應用的使用者資料洩露等高風險後果;儲存在客戶端,極有可能被惡意竊取(如反編譯獲取Appsecret)
2.access_token為使用者授權第三方應用發起介面呼叫的憑證(相當於使用者登入態),儲存在客戶端,可能出現惡意獲取access_token後導致的使用者資料洩露、使用者微信相關介面功能被惡意發起等行為
3.refresh_token為使用者授權第三方應用的長效憑證,僅使用者重新整理access_token,但洩露後相當於access_token洩露,風險同上。
建議將secret、使用者資料(如access_token)放在App雲端伺服器,由雲端中轉介面呼叫請求
8.通過access_token呼叫介面
獲取access_token後,進行介面呼叫,有以下前提
1.access_token有效且未超時
2.微信使用者已授權給第三方應用賬號相應介面作用域(scope)
對於介面作用域(scope),能呼叫的介面有以下
snsapi_base /sns/oauth2/access_token 通過code換取access_token、refresh_token和已授權scope
snsapi_base /sns/oauth2/refresh_token 重新整理或續期access_token使用
snsapi_base /sns/auth 檢查access_token有效性
snsapi_userinfo /sns/userinfo 獲取使用者個人資訊
其中snsapi_base屬於基礎介面,若應用已擁有其他scope許可權,則預設擁有snsapi_base的許可權。使用snsapi_base可以讓移動端網頁授權繞過跳轉授權登入頁請求使用者授權的動作,直接跳轉到第三方網頁帶上授權臨時票據(code),但會使得使用者已授權作用域(scope)僅為snsapi_base,從而導致無法獲取到需要使用者授權才允許獲取的資料和基礎功能。