微信網頁第三方登入原理
標籤:
微信開放平臺和公眾平臺的區別
1.公眾平臺面向的時普通的使用者,比如自媒體和媒體,企業官方微信公眾賬號運營人員使用,當然你所在的團隊或者公司有實力去開發一些內容,也可以呼叫公眾平臺裡面的介面,比如自定義選單,自動回覆,查詢功能。目前大多數微信通過認證之後,都在做這個事情。
mp.weixin.qq.com
2.開放平臺面向的開發者和第三方獨立軟體開發商。我覺得開發平臺最大的開放就是微信登入。當年騰訊沒有花大力氣去做統一登入這個事情,導致目前各個網站都要弄一套登入機制。好在他們現在認清了局勢。開發者或軟體開發商,通過微信開放提供的平臺和介面,可以開發適合企業的電子商務網站,掃描二維碼進去一個遊戲介面,然後去購買商品等。當然後續開放平臺要開放支付介面,那麼類似口袋通這種軟體開發廠商,就可以為大型,中小企業提供微信小店這種服務和軟體了。
open.weixin.qq.com
公眾平臺就是服務號訂閱號的管理開發後臺。
開發平臺說得通俗一點就是實現手機裡邊安裝軟體的內容一鍵分享朋友圈;
下面的第三方登陸就是依託於開放平臺(open.weixin.qq.com)的功能
準備工作
網站應用微信登入是基於OAuth2.0協議標準構建的微信OAuth2.0授權登入系統。
在進行微信OAuth2.在進行微信OAuth2.0授權登入接入之前,在微信開放平臺註冊開發者帳號,並擁有一個已稽核通過的網站應用,並獲得相應的AppID和AppSecret,申請微信登入且通過稽核後,可開始接入流程。
授權流程說明
微信OAuth2.0授權登入讓微信使用者使用微信身份安全登入第三方應用或網站,在微信使用者授權登入已接入微信OAuth2.0的第三方應用後,第三方可以獲取到使用者的介面呼叫憑證(access_token),通過access_token可以進行微信開放平臺授權關係介面呼叫,從而可實現獲取微信使用者基本開放資訊和幫助使用者實現基礎開放功能等。
微信OAuth2.0授權登入目前支援authorization_code模式,適用於擁有server端的應用授權。該模式整體流程為:
1. 第三方發起微信授權登入請求,微信使用者允許授權第三方應用後,微信會拉起應用或重定向到第三方網站,並且帶上授權臨時票據code引數;
2. 通過code引數加上AppID和AppSecret等,通過API換取access_token;
3. 通過access_token進行介面呼叫,獲取使用者基本資料資源或幫助使用者實現基本操作。
獲取access_token時序圖:
第一步:請求CODE
若提示“該連結無法訪問”,請檢查引數是否填寫錯誤,如redirect_uri的域名與稽核時填寫的授權域名不一致或scope不為snsapi_login。
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| appid | 是 | 應用唯一標識 |
| redirect_uri | 是 | 重定向地址,需要進行UrlEncode |
| response_type | 是 | 填code |
| scope | 是 | 應用授權作用域,擁有多個作用域用逗號(,)分隔,網頁應用目前僅填寫snsapi_login即可 |
| state | 否 | 用於保持請求和回撥的狀態,授權請求後原樣帶回給第三方。該引數可用於防止csrf攻擊(跨站請求偽造攻擊),建議第三方帶上該引數,可設定為簡單的隨機數加session進行校驗 |
返回說明
使用者允許授權後,將會重定向到redirect_uri的網址上,並且帶上code和state引數
redirect_uri?code=CODE&state=STATE
若使用者禁止授權,則重定向後不會帶上code引數,僅會帶上state引數
redirect_uri?state=STATE
請求示例
登入一號店網站應用
微信使用者使用微信掃描二維碼並且確認登入後,PC端會跳轉到
為了滿足網站更定製化的需求,我們還提供了第二種獲取code的方式,支援網站將微信登入二維碼內嵌到自己頁面中,使用者使用微信掃碼授權後通過JS將code返回給網站。
JS微信登入主要用途:網站希望使用者在網站內就能完成登入,無需跳轉到微信域下登入後再返回,提升微信登入的流暢性與成功率。 網站內嵌二維碼微信登入JS實現辦法:
步驟1:在頁面中先引入如下JS檔案(支援https):
<script src="http://res.wx.qq.com/connect/zh_CN/htmledition/js/wxLogin.js"></script>
步驟2:在需要使用微信登入的地方例項以下JS物件:
var obj = new WxLogin({
id:"login_container",
appid: "",
scope: "",
redirect_uri: "",
state: "",
style: "",
href: ""
});
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| id | 是 | 第三方頁面顯示二維碼的容器id |
| appid | 是 | 應用唯一標識,在微信開放平臺提交應用稽核通過後獲得 |
| scope | 是 | 應用授權作用域,擁有多個作用域用逗號(,)分隔,網頁應用目前僅填寫snsapi_login即可 |
| redirect_uri | 是 | 重定向地址,需要進行UrlEncode |
| state | 否 | 用於保持請求和回撥的狀態,授權請求後原樣帶回給第三方。該引數可用於防止csrf攻擊(跨站請求偽造攻擊),建議第三方帶上該引數,可設定為簡單的隨機數加session進行校驗 |
| style | 否 | 提供"black"、"white"可選,預設為黑色文字描述。詳見文件底部FAQ |
| href | 否 | 自定義樣式連結,第三方可根據實際需求覆蓋預設樣式。詳見文件底部FAQ |
第二步:通過code獲取access_token
通過code獲取access_token
https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| appid | 是 | 應用唯一標識,在微信開放平臺提交應用稽核通過後獲得 |
| secret | 是 | 應用金鑰AppSecret,在微信開放平臺提交應用稽核通過後獲得 |
| code | 是 | 填寫第一步獲取的code引數 |
| grant_type | 是 | 填authorization_code |
返回說明
正確的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE","unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"}
| 引數 | 說明 |
|---|---|
| access_token | 介面呼叫憑證 |
| expires_in | access_token介面呼叫憑證超時時間,單位(秒) |
| refresh_token | 使用者重新整理access_token |
| openid | 授權使用者唯一標識 |
| scope | 使用者授權的作用域,使用逗號(,)分隔 |
| unionid | 只有在使用者將公眾號繫結到微信開放平臺帳號後,才會出現該欄位。 |
錯誤返回樣例:
{"errcode":40029,"errmsg":"invalid code"}
重新整理access_token有效期
access_token是呼叫授權關係介面的呼叫憑證,由於access_token有效期(目前為2個小時)較短,當access_token超時後,可以使用refresh_token進行重新整理,access_token重新整理結果有兩種:
-
1. 若access_token已超時,那麼進行refresh_token會獲取一個新的access_token,新的超時時間;
-
2. 若access_token未超時,那麼進行refresh_token不會改變access_token,但超時時間會重新整理,相當於續期access_token。
refresh_token擁有較長的有效期(30天),當refresh_token失效的後,需要使用者重新授權。
請求方法
獲取第一步的code後,請求以下連結進行refresh_token:
https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| appid | 是 | 應用唯一標識 |
| grant_type | 是 | 填refresh_token |
| refresh_token | 是 | 填寫通過access_token獲取到的refresh_token引數 |
返回說明
正確的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
| 引數 | 說明 |
|---|---|
| access_token | 介面呼叫憑證 |
| expires_in | access_token介面呼叫憑證超時時間,單位(秒) |
| refresh_token | 使用者重新整理access_token |
| openid | 授權使用者唯一標識 |
| scope | 使用者授權的作用域,使用逗號(,)分隔 |
錯誤返回樣例:
{"errcode":40030,"errmsg":"invalid refresh_token"}
注意:
1、Appsecret 是應用介面使用金鑰,洩漏後將可能導致應用資料洩漏、應用的使用者資料洩漏等高風險後果;儲存在客戶端,極有可能被惡意竊取(如反編譯獲取Appsecret);
2、access_token 為使用者授權第三方應用發起介面呼叫的憑證(相當於使用者登入態),儲存在客戶端,可能出現惡意獲取access_token 後導致的使用者資料洩漏、使用者微信相關介面功能被惡意發起等行為;
3、refresh_token 為使用者授權第三方應用的長效憑證,僅用於重新整理access_token,但洩漏後相當於access_token 洩漏,風險同上。
建議將secret、使用者資料(如access_token)放在App雲端伺服器,由雲端中轉介面呼叫請求。
第三步:通過access_token呼叫介面
獲取access_token後,進行介面呼叫,有以下前提:
-
1. access_token有效且未超時;
-
2. 微信使用者已授權給第三方應用帳號相應介面作用域(scope)。
對於介面作用域(scope),能呼叫的介面有以下:
| 授權作用域(scope) | 介面 | 介面說明 |
|---|---|---|
| snsapi_base | /sns/oauth2/access_token | 通過code換取access_token、refresh_token和已授權scope |
| /sns/oauth2/refresh_token | 重新整理或續期access_token使用 | |
| /sns/auth | 檢查access_token有效性 | |
| snsapi_userinfo | /sns/userinfo | 獲取使用者個人資訊 |
其中snsapi_base屬於基礎介面,若應用已擁有其它scope許可權,則預設擁有snsapi_base的許可權。使用snsapi_base可以讓移動端網頁授權繞過跳轉授權登入頁請求使用者授權的動作,直接跳轉第三方網頁帶上授權臨時票據(code),但會使得使用者已授權作用域(scope)僅為snsapi_base,從而導致無法獲取到需要使用者授權才允許獲得的資料和基礎功能。
F.A.Q
1. 什麼是授權臨時票據(code)?
答:第三方通過code進行獲取access_token的時候需要用到,code的超時時間為10分鐘,一個code只能成功換取一次access_token即失效。code的臨時性和一次保障了微信授權登入的安全性。第三方可通過使用https和state引數,進一步加強自身授權登入的安全性。
2. 什麼是授權作用域(scope)?
答:授權作用域(scope)代表使用者授權給第三方的介面許可權,第三方應用需要向微信開放平臺申請使用相應scope的許可權後,使用文件所述方式讓使用者進行授權,經過使用者授權,獲取到相應access_token後方可對介面進行呼叫。
3. 網站內嵌二維碼微信登入JS程式碼中style欄位作用?
答:第三方頁面顏色風格可能為淺色調或者深色調,若第三方頁面為淺色背景,style欄位應提供"black"值(或者不提供,black為預設值),則對應的微信登入文字樣式為黑色。相關效果如下:
若提供"white"值,則對應的文字描述將顯示為白色,適合深色背景。相關效果如下:
4.網站內嵌二維碼微信登入JS程式碼中href欄位作用?
答:如果第三方覺得微信團隊提供的預設樣式與自己的頁面樣式不匹配,可以自己提供樣式檔案來覆蓋預設樣式。舉個例子,如第三方覺得預設二維碼過大,可以提供相關css樣式檔案,並把連結地址填入href欄位
.impowerBox .qrcode {width: 200px;}
.impowerBox .title {display: none;}
.impowerBox .info {width: 200px;}
.status_icon {display:none}
.impowerBox .status {text-align: center;}
相關效果如下:
通過code獲取access_token
介面說明
通過code獲取access_token的介面。
請求說明
http請求方式: GET
https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| appid | 是 | 應用唯一標識,在微信開放平臺提交應用稽核通過後獲得 |
| secret | 是 | 應用金鑰AppSecret,在微信開放平臺提交應用稽核通過後獲得 |
| code | 是 | 填寫第一步獲取的code引數 |
| grant_type | 是 | 填authorization_code |
返回說明
正確的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
| 引數 | 說明 |
|---|---|
| access_token | 介面呼叫憑證 |
| expires_in | access_token介面呼叫憑證超時時間,單位(秒) |
| refresh_token | 使用者重新整理access_token |
| openid | 授權使用者唯一標識 |
| scope | 使用者授權的作用域,使用逗號(,)分隔 |
錯誤返回樣例:
{
"errcode":40029,"errmsg":"invalid code"
}
重新整理或續期access_token使用
介面說明
access_token是呼叫授權關係介面的呼叫憑證,由於access_token有效期(目前為2個小時)較短,當access_token超時後,可以使用refresh_token進行重新整理,access_token重新整理結果有兩種:
-
1. 若access_token已超時,那麼進行refresh_token會獲取一個新的access_token,新的超時時間;
-
2.若access_token未超時,那麼進行refresh_token不會改變access_token,但超時時間會重新整理,相當於續期access_token。
refresh_token擁有較長的有效期(30天),當refresh_token失效的後,需要使用者重新授權。
請求方法
使用/sns/oauth2/access_token介面獲取到的refresh_token進行以下介面呼叫:
http請求方式: GET
https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| appid | 是 | 應用唯一標識 |
| grant_type | 是 | 填refresh_token |
| refresh_token | 是 | 填寫通過access_token獲取到的refresh_token引數 |
返回說明
正確的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
| 引數 | 說明 |
|---|---|
| access_token | 介面呼叫憑證 |
| expires_in | access_token介面呼叫憑證超時時間,單位(秒) |
| refresh_token | 使用者重新整理access_token |
| openid | 授權使用者唯一標識 |
| scope | 使用者授權的作用域,使用逗號(,)分隔 |
錯誤返回樣例:
{
"errcode":40030,"errmsg":"invalid refresh_token"
}
介面說明
檢驗授權憑證(access_token)是否有效
請求說明
http請求方式: GET
https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| access_token | 是 | 呼叫介面憑證 |
| openid | 是 | 普通使用者標識,對該公眾帳號唯一 |
返回說明
正確的Json返回結果:
{
"errcode":0,"errmsg":"ok"
}
錯誤的Json返回示例:
{
"errcode":40003,"errmsg":"invalid openid"
}
獲取使用者個人資訊(UnionID機制)
介面說明
此介面用於獲取使用者個人資訊。開發者可通過OpenID來獲取使用者基本資訊。特別需要注意的是,如果開發者擁有多個移動應用、網站應用和公眾帳號,可通過獲取使用者基本資訊中的unionid來區分使用者的唯一性,因為只要是同一個微信開放平臺帳號下的移動應用、網站應用和公眾帳號,使用者的unionid是唯一的。換句話說,同一使用者,對同一個微信開放平臺下的不同應用,unionid是相同的。
請求說明
http請求方式: GET
https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID
引數說明
| 引數 | 是否必須 | 說明 |
|---|---|---|
| access_token | 是 | 呼叫憑證 |
| openid | 是 | 普通使用者的標識,對當前開發者帳號唯一 |
返回說明
正確的Json返回結果:
{
"openid":"OPENID",
"nickname":"NICKNAME",
"sex":1,
"province":"PROVINCE",
"city":"CITY",
"country":"COUNTRY",
"headimgurl": "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/0",
"privilege":[
"PRIVILEGE1",
"PRIVILEGE2"
],
"unionid": " o6_bmasdasdsad6_2sgVt7hMZOPfL"
}
| 引數 | 說明 |
|---|---|
| openid | 普通使用者的標識,對當前開發者帳號唯一 |
| nickname | 普通使用者暱稱 |
| sex | 普通使用者性別,1為男性,2為女性 |
| province | 普通使用者個人資料填寫的省份 |
| city | 普通使用者個人資料填寫的城市 |
| country | 國家,如中國為CN |
| headimgurl | 使用者頭像,最後一個數值代表正方形頭像大小(有0、46、64、96、132數值可選,0代表640*640正方形頭像),使用者沒有頭像時該項為空 |
| privilege | 使用者特權資訊,json陣列,如微信沃卡使用者為(chinaunicom) |
| unionid | 使用者統一標識。針對一個微信開放平臺帳號下的應用,同一使用者的unionid是唯一的。 |
錯誤的Json返回示例:
{
"errcode":40003,"errmsg":"invalid openid"
}
呼叫頻率限制
| 介面名 | 頻率限制 |
|---|---|
| 通過code換取access_token | 1萬/分鐘 |
| 重新整理access_token | 5萬/分鐘 |
| 獲取使用者基本資訊 | 5萬/分鐘 |