一、授权流程
微信OAuth2.0授权登录让微信用户使用微信省份安全登录第三方应用或网站,在微信用户授权登录已接入微信OAuth2.0的第三方应用后,第三方可以获取到用户的接口调用凭证(access_token),通过access_token可以进行微信开发平台授权关系接口调用,从而可实现获取微信用户基本开放信息和帮助用户实现基本开放功能等。
1.第三方发起微信授权登录请求,微信用户允许授权第三方应用后,微信会拉起应用或重定向到第三方网站,请求带上授权临时票据code参数
2.通过code参数加上APPID和APPSecret等,通过API换区access_token
3.通过access_token进行解救调用,获取用户基本数据资源或帮助用户实现基本操作。
二、请求code
1.第三方使用网站应用授权登录前请注意已获取相应网页授权作用域(scope=snsapi_login)。
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 1.appid 是 应用唯一标识
2.redirect_uri 是 请使用urlEncode对链接进行处理
3.response—_type 是 填code
4.scope 是 应用授权作用域,拥有多个作用于用(,)逗号分隔开,网页应用目前仅填写snsapi_login
5.state 否 用于保持请求和回调的状态,授权请求后原样带回给第三方,该参数可用户防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的数加session进行校验
2.返回:用户允许授权后,将会重定向到redirect_uri的网址上,并且带上code和state参数,若用户禁止授权,则重定向后不会带code参数,仅会带上state参数
三、第二种微信扫码授权登录
为了满足网站更定制化的需求我们还提供了第二种获取code的方式,支持网站将微信登录二维码内嵌到自己的网页中,用户使用微信扫码授权后通过JS将code返回给网站
JS微信登录的主要用途:网站希望用户在网站内就能完成登录,无需跳转到微信域下登录后再返回,提升微信登录的流畅性和成功率。网站内嵌二维码微信登录JS实现办法
1.在页面中先引入JS文件(支持Https)http://res.wx.qq.com/connect/zh_CN/htmledition/js/wxLogin.js
2.在需要使用微信登录的地方实例以下JS对象:
var obj = new WxLogin({
self_redirect:true,
id:"login_container",
appid: "",
scope: "",
redirect_uri: "",
state: "",
style: "",
href: ""
});
self_redirect 否 true:手机点击确认登录后可以在iframe内跳转到redirect——uri,false:手机点击确认登录后可在iframe内跳转到redirect_uri,false:手机点击确认登录后可以在top window 跳转到redirect_uri。默认false
id 是 第三方页面实现二维码的容器id
appid 是 应用唯一标识,在微信开放平台提交应用审核通过后获得
scope 是 应用授权作用域,拥有多个作用域用逗号(,)分隔,网页应用目前仅填写snsapi_login即可
REDIRECT_URI 重定向地址,需要进行URLEncode
state 否 用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可以用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验
style 否 提供"balck"、"white"可选,默认为黑色文字描述。
href 否 自定义样式衔接,第三方可根据实际需求覆盖默认样式
3.通过code获取access_token https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
appid 是 应用唯一标识,微信开放平台日胶应用审核通过后获得
secret 是 应用密钥AppSecret,在微信开放平台提交应用审核后获得
code 是 填写第一步获取的code参数
grant_type 是 填authorization_code
4.返回值
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE",
"unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"
}
access_token 接口调用凭证
expires_in access_token接口调用凭证超时时间,单位(秒)
refresh_in 用户刷新access_token
openid 授权用户唯一标识
scope 用户授权的作用域,使用逗号(,)分隔
unionid 当且仅当该网站应用已获取该用户的userinfo授权时,才会出现该字段
错误返回样例:{"errcode":40029,"errmsg":"invalid code"}
5.刷新access_token有效期
access_token是调用授权关系接口的调用凭证,由于access_token有效期(目前为2个小时)较短,当access_token超时后,可以使用refresh_token进行刷新,access_token刷新结构有两种
1.若access_token已超时,那么进行refresh_token获取一个新的access_token,新的超时时间
2.若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,相当于续期access_token
注:refresh_token拥有较长的有效期(30天),当refresh_token失效的后,需要用户重新授权。
6.请求方法
获取第一步的code后,请求一下链接进行refresh_token
appid 是 应用唯一标识
grant_typr 是 填refresh_token
refresh_token 是 填写通过access_token获取到的refresh_token参数
正确的返回:{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
access_token 接口调用凭证
expires_in access_token接口调用凭证超时时间,单位(秒)
refresh_token 用户刷新access_token
openid 授权用户唯一标识
scope 用户授权的作用域,使用逗号(,)分隔
错伏返回样例: {"errcode":40030,"errmsg":"invalid refresh_token"}
7.注意事项
1.Appsecret是应用接口使用密匙,泄露后将可能导致应用数据泄露、应用的用户数据泄露等高风险后果;存储在客户端,极有可能被恶意窃取(如反编译获取Appsecret)
2.access_token为用户授权第三方应用发起接口调用的凭证(相当于用户登录态),存储在客户端,可能出现恶意获取access_token后导致的用户数据泄露、用户微信相关接口功能被恶意发起等行为
3.refresh_token为用户授权第三方应用的长效凭证,仅用户刷新access_token,但泄露后相当于access_token泄露,风险同上。
建议将secret、用户数据(如access_token)放在App云端服务器,由云端中转接口调用请求
8.通过access_token调用接口
获取access_token后,进行接口调用,有以下前提
1.access_token有效且未超时
2.微信用户已授权给第三方应用账号相应接口作用域(scope)
对于接口作用域(scope),能调用的接口有以下
snsapi_base /sns/oauth2/access_token 通过code换取access_token、refresh_token和已授权scope
snsapi_base /sns/oauth2/refresh_token 刷新或续期access_token使用
snsapi_base /sns/auth 检查access_token有效性
snsapi_userinfo /sns/userinfo 获取用户个人信息
其中snsapi_base属于基础接口,若应用已拥有其他scope权限,则默认拥有snsapi_base的权限。使用snsapi_base可以让移动端网页授权绕过跳转授权登录页请求用户授权的动作,直接跳转到第三方网页带上授权临时票据(code),但会使得用户已授权作用域(scope)仅为snsapi_base,从而导致无法获取到需要用户授权才允许获取的数据和基础功能。