溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

關(guān)于微信小程序登錄的那些事

發(fā)布時間:2020-10-19 11:24:48 來源:腳本之家 閱讀:165 作者:尹吉歡 欄目:web開發(fā)

前言

最近團隊在開發(fā)一款小程序,都是新手,一邊看文檔,一邊開發(fā)。在開發(fā)中會遇到各種問題,今天把小程序登錄這塊的流程整理下,做個記錄。

小程序的登錄跟平時自己APP這種登錄驗證還不太一樣,多了一個角色,那就是微信服務(wù)器。

關(guān)于微信小程序登錄的那些事

根據(jù)微信官方提供的登錄流程時序圖可以清楚的了解小程序登錄需要多少個步驟,下面我們來總結(jié)下:

  • 小程序啟動,通過wx.login()獲取code
  • 開發(fā)者服務(wù)器需要提供一個登錄的接口,參數(shù)就是小程序獲取的code
  • 登錄接口收到code后,調(diào)用微信提供的接口進行code的驗證
  • 得到驗證結(jié)果,成功后能得到一個session_key和openid
  • 生成一個自定義的key, 將session_key和openid跟自定義的key關(guān)聯(lián)起來
  • 將自定義的key返回給小程序
  • 每次請求都帶上key, 后端根據(jù)key獲取openid識別當(dāng)前用戶身份

首先code是微信給的,如果你隨意生成code去驗證肯定是無效的,只有微信給的code才有效。code傳到開發(fā)者自己的服務(wù)后,再去問微信:

Hi 哥們,我這個code是有效的還是無效的???

微信會告訴你是有效還是無效,有效的情況下還會給你一個用戶的標(biāo)識,也就是openid,同時還會有一個sessionkey,也就是會話的key。sessionkey的有效期默認(rèn)是2小時,當(dāng)用戶一直在使用小程序的話會自動刷新,這個是由微信這邊來維護的。

注意:

  • 會話密鑰 session_key 是對用戶數(shù)據(jù)進行 加密簽名 的密鑰。為了應(yīng)用自身的數(shù)據(jù)安全,開發(fā)者服務(wù)器不應(yīng)該把會話密鑰下發(fā)到小程序,也不應(yīng)該對外提供這個密鑰。
  • 臨時登錄憑證 code 只能使用一次

所以我們要為session_key創(chuàng)建別名,這個別名關(guān)聯(lián)的哪個用戶只有我們自己知道,唯一需要做的工作就在這塊。

我推薦2種方式來做關(guān)聯(lián):

第一種:隨機生成key, 關(guān)聯(lián)openid,存入redis中,當(dāng)請求帶入key,直接從redis中獲取openid得到當(dāng)前用戶信息,這個其實也就是我們自己去維護了會話信息

第二種:采用JWT生成token,將openid綁定到token中,將token返回給小程序,請求的時候帶上token,通過解析token得到用戶信息。

下面我們以第二種方式來進行講解,會貼上部分代碼:

小程序中在app.js中的onLaunch方法中增加獲取code方法,并且調(diào)用后端的登錄接口獲取token:

wx.login({
 success: function (res) {
 var code = res.code;
 if (code) {
  console.log('app啟動獲取用戶登錄憑證:' + code);
  let params = { "code": code };
  let result = config.requestHttp(config.url.userLogin, 'POST', params)
  result.then(res => {
  let data = res.data
  if (data.code == 200) {
  wx.setStorageSync("login_token", data.data.token);
  }
  }).catch(err => {
  console.log(err)
  });
 } else {
  console.log('獲取用戶登錄態(tài)失?。? + res.errMsg);
 }
 }
})

userLogin接口則根據(jù)小程序的code去調(diào)用微信接口驗證:

// 小程序獲取SessionKey接口地址
String loginUrl = "https://api.weixin.qq.com/sns/jscode2session";
String url = loginUrl + "?appid=%s&secret=%s&grant_type=%s&js_code=%s";
url = String.format(url, appid, appSecret, grantType, param.getCode());
String result = restTemplate.getForObject(url, String.class);
Map<String, Object> map = JsonUtils.toBean(Map.class, result);

// 請求成功
if (map.containsKey("session_key")) {
 String openid = map.get("openid").toString();
 // 第一次保存到用戶表,生成JWT TOKEN返回
}

小程序端需要將 wx.request()封裝成一個通用的方法,所有跟后臺交互都用這個方法來調(diào)用接口,我們可以在這個方法中設(shè)置登錄之后獲取的Token。這樣每次請求都會將Token塞到請求頭中,我們在網(wǎng)關(guān)中就可以獲取這個Token進行解析驗證。

//請求封裝
function requestHttp(url, method, data) {
 //請求頭設(shè)置
 var header = {
 Authorization: wx.getStorageSync("login_token")
 }

 return new Promise((resolve, reject) => {
 wx.request({
  url: config.home_config + url,
  data: data,
  header: header,
  method: method,
  success: (res => {
  if (res.data.code === 200) {
   resolve(res)
  } else {
   reject(res)
  }
  }),

  fail: (res => {
  reject(res)
  })
 })
 })
}

Zuul中進行驗證:

 RequestContext ctx = RequestContext.getCurrentContext();
 HttpServletRequest request = ctx.getRequest();
 String token = request.getHeader("Authorization");

 if (StringUtils.isBlank(token)) {
   ctx.setSendZuulResponse(false);
   ctx.set("isSuccess", false);
   ctx.setResponseBody(JsonUtils.toJson(Response.fail("非法請求【缺少Authorization】", ResponseCode.NO_AUTH_CODE)));
   ctx.getResponse().setContentType("application/json; charset=utf-8");
   return null;
 }

 // 驗證Token是否有效
 JWTResult jwResult = JWTUtils.checkToken(token);
 if (!jwResult.isStatus()) {
   ctx.setSendZuulResponse(false);
   ctx.set("isSuccess", false);
   ctx.setResponseBody(JsonUtils.toJson(Response.fail(jwResult.getMsg(), jwResult.getCode())));
   ctx.getResponse().setContentType("application/json; charset=utf-8");
   return null;
 }

 ctx.addZuulRequestHeader("loginUserId", jwResult.getUid());
 return null;

驗證成功后將用戶ID設(shè)置到請求頭中,傳遞給后端服務(wù)使用。

使用JWT必然有一個問題是Token的失效問題,我這邊失效時間設(shè)置的為2個小時,正常的話用戶打開小程序,使用不可能連續(xù)超過2個小時,登錄的邏輯是在app.js中做的,只要下次進去token就會重新申請。不過這個也可以調(diào)整,比如稍微長一點。

核心就是用戶的認(rèn)證交給了微信,只要微信告訴我們認(rèn)證成功了,我們就可以自己接管會話信息了。

總結(jié)

以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,如果有疑問大家可以留言交流,謝謝大家對億速云的支持。

向AI問一下細節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI