小程序之授權(quán)、登錄、session_key、unionId的示例分析

這篇文章主要介紹小程序之授權(quán)、登錄、session_key、unionId的示例分析，文中介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們一定要看完！

微信應(yīng)用的一個很大的優(yōu)勢就在于使用過程中是不需要進(jìn)行注冊和顯式登錄的，大部分問題基本上可以一鍵解決。但是在授權(quán)、登錄和獲取用戶信息的過程中都發(fā)生了哪些事情。這篇文章主要分析以下幾個問題：

1. 授權(quán)和登錄的意義

2. session_key 的作用

3. unionId 的作用，有哪些獲取途徑

4. 在應(yīng)用中如何保存用戶登錄態(tài)

1. 授權(quán)和登錄的意義

首先必須要明白，授權(quán)和登錄實際上是兩個操作。

1.1 授權(quán)（已廢棄）

那授權(quán)的作用是啥呢？從小程序官方文檔中我們可以看到授權(quán)操作只需通過wx.authorize() 接口便可以完成，以下是文檔中對授權(quán)操作的描述：

提前向用戶發(fā)起授權(quán)請求。調(diào)用后會立刻彈窗詢問用戶是否同意授權(quán)小程序使用某項功能或獲取用戶的某些數(shù)據(jù)，但不會實際調(diào)用對應(yīng)接口。如果用戶之前已經(jīng)同意授權(quán)，則不會出現(xiàn)彈窗，直接返回成功。

也就是說，授權(quán)過程實際上只是在小程序前端獲得了操作部分wx 接口的訪問許可，這個過程實際上是不會與開發(fā)者服務(wù)器發(fā)生任何關(guān)系的。那這些訪問許可包含哪些內(nèi)容呢？再來看微信官方提供的scope 列表：

注：新版api已廢棄wx.authorize()，具體信息查看https://developers.weixin.qq.com/miniprogram/dev/api/open.html

1.2 登錄

所謂的登錄就是要讓開發(fā)者服務(wù)器知道當(dāng)前的用戶是誰？在傳統(tǒng)的web 應(yīng)用中，我們必須要讓用戶輸入賬號和密碼才能實現(xiàn)登錄操作。但是在微信應(yīng)用中，我們可以通過微信服務(wù)器來完成這個操作，獲取到與當(dāng)前用戶對應(yīng)的唯一標(biāo)志（openId），具體操作實現(xiàn)流程如下：

注：每個用戶相對于每個微信應(yīng)用（公眾號或者小程序）的openId 是唯一的，也就是說一個用戶相對于不同的微信應(yīng)用會存在不同的openId

從上圖中，我們可以看出，小程序中登錄步驟如下：

① 小程序前端使用wx.login() 從微信服務(wù)器獲取code

② 小程序前端將code 發(fā)送給開發(fā)者服務(wù)器，開發(fā)者服務(wù)器利用appId、appSecret 和code 向微信服務(wù)器換換取用戶openId 和session_key

③ 開發(fā)者服務(wù)器自定義登錄態(tài)并將其與openId 和session_key 關(guān)聯(lián)起來然后寫session

④ 開發(fā)者服務(wù)器將登錄態(tài)返回給小程序前端，小程序前端使用wx.setStorageSync() 將登錄態(tài)保存起來

⑤ 小程序前端在執(zhí)行業(yè)務(wù)請求時將登錄態(tài)發(fā)送給開發(fā)者服務(wù)器，以便開發(fā)者服務(wù)器知道當(dāng)前操作的用戶是哪位。

也就是說，在整個過程中小程序前端是拿不到用戶openId 的，它只能通過開發(fā)者服務(wù)器發(fā)給它的登錄態(tài)來告訴服務(wù)器當(dāng)前用戶的信息。登錄過程中涉及session_key 和unionId，于是又引出了下面的問題。

2. session_key 的作用

那么，session_key 在登錄的過程中或者登錄完成后起什么作用呢？一起來看一下。

2.1 wx.getUserInfo

首先來看一下wx.getUserInfo 這個api：

在設(shè)置withCredentials 屬性為true 的情況下，這個api 可以拿到encryptedData，iv 等敏感信息，encryptedData 需要使用session_key 進(jìn)行解密，解密后可以拿到的數(shù)據(jù)如下：

也就是說，session_key 的作用之一是將小程序前端從微信服務(wù)器獲取到的encryptedData 解密出來，獲取到openId 和unionId 等信息。但是在1.2 登錄過程中我們可以看到開發(fā)者服務(wù)器是能夠直接拿到用戶的openId 信息的，而且unionId 也是有其他獲取途徑的，所以session_key 在這里的作用看起來有點(diǎn)雞肋。

2.2 getPhoneNumber

session_key 更重要的作用大概體現(xiàn)在獲取用戶手機(jī)方面（可能還包含其他敏感信息獲取api）。

從文檔中可以看到getPhoneNumber 返回的用戶數(shù)據(jù)是加密過的，只有使用session_key 才能解密，而小程序前端沒有session_key，所以無法獲取到用戶的手機(jī)，只能傳到開發(fā)者服務(wù)器進(jìn)行處理。

3. unionId 的作用，有哪些獲取途徑？

關(guān)于unionId 的作用，可以參考Ref 中的連接。簡單來說，就是同一用戶針對同意微信公眾平臺下綁定的所有應(yīng)用都具有相同的unionId。

獲取途徑有三種，在官方文檔中寫的比較清楚：

4. 在應(yīng)用中如何保存用戶登錄態(tài)

保存用戶登錄態(tài)，一直以來都有兩種解決方案：前端保存和后端保存。

4.1 后端保存

在1.2 步驟③ 中寫session 的時候可以直接設(shè)定過期時間，定期通知小程序前端重新進(jìn)行登錄（wx.login）。

4.2 前端保存

因為session_key 存在時效性問題（畢竟是用來查看敏感信息），而小程序前端可以通過wx.checkSession() 來檢查session_key 是否過期。所以可以通過這個來作為保存用戶登錄態(tài)的機(jī)制，這也是小程序文檔中推薦的方法：

以上是“小程序之授權(quán)、登錄、session_key、unionId的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道！