微信小程式中使用者登入和登入態維護
提供使用者登入以及維護使用者的登入狀態,是一個擁有使用者系統的軟體應用普遍需要做的事情。像微信這樣的一個社交平臺,如果做一個小程式應用,我們可能很少會去做一個完全脫離和捨棄連線使用者資訊的純工具軟體。
讓使用者登入,標識使用者和獲取使用者資訊,以使用者為核心提供服務,是大部分小程式都會做的事情。我們今天就來了解下在小程式中,如何做使用者登入,以及如何去維護這個登入後的會話(Session)狀態。
在微信小程式中,我們大致會涉及到以下三類登入方式:
- 自有的賬號註冊和登入
- 使用其他第三方平臺賬號登入
- 使用微信賬號登入(即直接使用當前已登入的微信賬號來作為小程式的使用者進行登入)
第一和第二種方式是目前Web應用中最常見的兩種方式,在微信小程式中同樣可以使用,但是需要值的注意
Cookie
的機制,所以在使用這2種方式前,請確認你們或第三方的API是否需要依賴Cookie
;還有小程式中也不支援HTML頁面,那些需要使用頁面重定向來進行登入的第三方API就需要改造,或不能用了。我們今天主要來討論一下第三種方式,即如何使用微信賬號進行登入,因為這種方式和微信平臺結合最緊密,使用者體驗比較好。
登入流程
引用小程式官方文件的登入流程圖,整個登入流程基本如下圖所示:
登入流程圖
該圖中,“小程式”指的就是我們使用小程式框架寫的程式碼部分,“第三方伺服器”一般就是我們自己的後臺服務程式,“微信伺服器”是微信官方的API伺服器。
下面我們來逐步分解一下這個流程圖。
步驟1:在客戶端獲取當前登入微信使用者的登入憑證(code)
在小程式中登入的第一步,就是先獲取登入憑證。我們可以使用wx.login()方法並得到一個登入憑證。
我們可以在小程式的App程式碼中發起登入憑證請求,也可以在其他任何Page頁面程式碼中發起登入憑證請求,主要根據你小程式的實際需要。
App({
onLaunch: function() {
wx.login({
success: function(res) {
var code = res.code;
if (code) {
console.log('獲取使用者登入憑證:' + code);
} else {
console.log('獲取使用者登入態失敗:' + res.errMsg);
}
}
});
}
})
步驟2:將登入憑證發往你的服務端,並在你的服務端使用該憑證向微信伺服器換取該微信使用者的唯一標識(openid)
和會話金鑰(session_key)
首先,我們使用wx.request()方法,請求我們自己實現的一個後臺API,並將登入憑證(code)攜帶過去,例如在我們前面程式碼的基礎上增加:
App({
onLaunch: function() {
wx.login({
success: function(res) {
var code = res.code;
if (code) {
console.log('獲取使用者登入憑證:' + code);
// --------- 傳送憑證 ------------------
wx.request({
url: 'https://www.my-domain.com/wx/onlogin',
data: { code: code }
})
// ------------------------------------
} else {
console.log('獲取使用者登入態失敗:' + res.errMsg);
}
}
});
}
})
你的後臺服務(/wx/onlogin)接著需要使用這個傳遞過來的登入憑證,去呼叫微信介面換取openid和session_key,介面地址格式如下所示:
https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code
這裡是我使用了Node.js Express構建的後臺服務的程式碼,僅供參考:
router.get('/wx/onlogin', function (req, res, next) {
let code = req.query.code
request.get({
uri: 'https://api.weixin.qq.com/sns/jscode2session',
json: true,
qs: {
grant_type: 'authorization_code',
appid: '你小程式的APPID',
secret: '你小程式的SECRET',
js_code: code
}
}, (err, response, data) => {
if (response.statusCode === 200) {
console.log("[openid]", data.openid)
console.log("[session_key]", data.session_key)
//TODO: 生成一個唯一字串sessionid作為鍵,將openid和session_key作為值,存入redis,超時時間設定為2小時
//虛擬碼: redisStore.set(sessionid, openid + session_key, 7200)
res.json({ sessionid: sessionid })
} else {
console.log("[error]", err)
res.json(err)
}
})
})
這段後臺程式碼成功執行的話,就可以得到openid和session_key。這個資訊就是當前微信賬戶在微信伺服器那邊的登入態了。
但是,為了安全方面的原因,請不要直接使用這些資訊作為你小程式的使用者標識和session標識回傳到小程式客戶端中去,我們應該在伺服器端做一層自己的session,將這個微信賬號登入態生成一個session id並維護在我們自己的session機制中,然後把這個session id派發到小程式客戶端作為session標識來使用。
關於如何在伺服器端做這個session機制,我們現在一般採用鍵值對儲存工具來做,比如redis。我們為每個session生成一個唯一的字串作為鍵,然後可以將session_key和openid作為值,存入redis中,為了安全,存入的時候還應設定一個超時的時間。
步驟3:在客戶端儲存sessionid
開發Web應用的時候,在客戶端(瀏覽器)中,我們通常將session id存放在cookie中,但是小程式沒有cookie機制,所以不能採用cookie了,但是小程式有本地的storage,所以我們可以使用storage來儲存sessionid,以供後續的後臺API呼叫所使用。
在之後,呼叫那些需要登入後才有許可權的訪問的後臺服務時,你可以將儲存在storage中的sessionid取出並攜帶在請求中(可以放在header中攜帶,也可以放在querystring中,或是放在body中,根據你自己的需要來使用),傳遞到後臺服務,後臺程式碼中獲取到該sessionid後,從redis中查詢是否有該sessionid存在,存在的話,即確認該session是有效的,繼續後續的程式碼執行,否則進行錯誤處理。
這是一個需要session驗證的後臺服務示例,我的sessionid是放在header中傳遞的,所以在這個示例中,是從請求的header中獲取sessionid:
router.get('/wx/products/list', function (req, res, next) {
let sessionid = req.header("sessionid")
let sessionVal = redisStore.get(sessionid)
if (sessionVal) {
// 執行其他業務程式碼
} else {
// 執行錯誤處理
}
})
好了,通過微信賬號進行小程式登入和狀態維護的簡單流程就是這樣,瞭解這些知識點之後,再基於此進行後續的開發就會變得更容易了。
另外,騰訊前端團隊也開源了他們封裝的相關庫Wafer,可以借鑑和使用。