网站接入微信登陆API
1.第三方注册微信开放平台账号,并且有一个已经审核通过的网站应用,获得相应的appid跟appsecret
2.第三方可以通过appid跟appsecret获取到用户的接口调用凭证(access_token)
3.通过access_token进行接口调用,获取用户基本的数据资源或者帮助用户实现基本操作
微信OAuth2.0授权登陆目前支持authorization_code模式,适用于拥有server端的应用
获取access_token时序图:
图片: 
建议把access_token用户信息和appsecret 接口密钥放到云端以数据泄露被恶意串改,窃取
第三方应用授权登陆获取相应的作用域,检查参数是否填写错误,如redirect_uri的域名跟审核时填写的域名不同或者scope不为snsapi_login
关键参数(state):用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验
用户允许授权后会重定向到redirect_uri,并且带上code跟state参数
第二种定制化需求的获取code的方式
图片: 
授权临时票据(code):第三方通过code获取access_token(入口令牌)和refresh_token(刷新),scope(作用域)的时候会用到,code的超时时间为10分钟,一个code只能成功换取一次access_token即失效,code的临时性跟一次性保障了用户微信授权的安全性。第三方可以通过https跟state参数,进一步加强授权登陆的安全性。
授权作用域(scope):代表了用户给第三方的接口权限,第三方需要向微信开放平台申请使用相应的scope权限,使用文档所述的方式让用户授权,经过用户授权后,获得相应的access_token后才可以对相应的接口进行调用