前言
最近團隊在開發一款小程序,都是新手,一邊看文檔,一邊開發。在開發中會遇到各種問題,今天把小程序登錄這塊的流程整理下,做個記錄。
小程序的登錄跟平時自己APP這種登錄驗證還不太一樣,多了一個角色,那就是微信服務器。
根據微信官方提供的登錄流程時序圖可以清楚的了解小程序登錄需要多少個步驟,下面我們來總結下:
小程序啟動,通過wx.login()獲取code 開發者服務器需要提供一個登錄的接口,參數就是小程序獲取的code 登錄接口收到code后,調用微信提供的接口進行code的驗證 得到驗證結果,成功后能得到一個session_key和openid 生成一個自定義的key, 將session_key和openid跟自定義的key關聯起來 將自定義的key返回給小程序 每次請求都帶上key, 后端根據key獲取openid識別當前用戶身份首先code是微信給的,如果你隨意生成code去驗證肯定是無效的,只有微信給的code才有效。code傳到開發者自己的服務后,再去問微信:
Hi 哥們,我這個code是有效的還是無效的啊?
微信會告訴你是有效還是無效,有效的情況下還會給你一個用戶的標識,也就是openid,同時還會有一個sessionkey,也就是會話的key。sessionkey的有效期默認是2小時,當用戶一直在使用小程序的話會自動刷新,這個是由微信這邊來維護的。
注意:
會話密鑰 session_key 是對用戶數據進行 加密簽名 的密鑰。為了應用自身的數據安全,開發者服務器不應該把會話密鑰下發到小程序,也不應該對外提供這個密鑰。 臨時登錄憑證 code 只能使用一次所以我們要為session_key創建別名,這個別名關聯的哪個用戶只有我們自己知道,唯一需要做的工作就在這塊。
我推薦2種方式來做關聯:
第一種:隨機生成key, 關聯openid,存入redis中,當請求帶入key,直接從redis中獲取openid得到當前用戶信息,這個其實也就是我們自己去維護了會話信息
第二種:采用JWT生成token,將openid綁定到token中,將token返回給小程序,請求的時候帶上token,通過解析token得到用戶信息。
新聞熱點
疑難解答
