提供用戶登錄以及維護用戶的登錄狀態,是一個擁有用戶系統的軟件應用普遍需要做的事情。像微信這樣的一個社交平台,如果做一個小程序應用,我們可能很少會去做一個完全脫離和舍棄連接用戶信息的純工具軟件。
讓用戶登錄,標識用戶和獲取用戶信息,以用戶為核心提供服務,是大部分小程序都會做的事情。我們今天就來了解下在小程序中,如何做用戶登錄,以及如何去維護這個登錄后的會話(Session)狀態。
在微信小程序中,我們大致會涉及到以下三類登錄方式:
- 自有的賬號注冊和登錄
- 使用其他第三方平台賬號登錄
- 使用微信賬號登錄(即直接使用當前已登錄的微信賬號來作為小程序的用戶進行登錄)
Cookie的機制,所以在使用這2種方式前,請確認你們或第三方的API是否需要依賴
Cookie;還有小程序中也不支持HTML頁面,那些需要使用頁面重定向來進行登錄的第三方API就需要改造,或不能用了。
登錄流程
引用小程序官方文檔的登錄流程圖,整個登錄流程基本如下圖所示:
登錄流程圖
該圖中,“小程序”指的就是我們使用小程序框架寫的代碼部分,“第三方服務器”一般就是我們自己的后台服務程序,“微信服務器”是微信官方的API服務器。
下面我們來逐步分解一下這個流程圖。
步驟1:在客戶端獲取當前登錄微信用戶的登錄憑證(code)
在小程序中登錄的第一步,就是先獲取登錄憑證。我們可以使用wx.login()方法並得到一個登錄憑證。
我們可以在小程序的App代碼中發起登錄憑證請求,也可以在其他任何Page頁面代碼中發起登錄憑證請求,主要根據你小程序的實際需要。
1 App({ 2 onLaunch: function() { 3 wx.login({ 4 success: function(res) { 5 var code = res.code; 6 if (code) { 7 console.log('獲取用戶登錄憑證:' + code); 8 } else { 9 console.log('獲取用戶登錄態失敗:' + res.errMsg); 10 } 11 } 12 }); 13 } 14 })
步驟2:將登錄憑證發往你的服務端,並在你的服務端使用該憑證向微信服務器換取該微信用戶的唯一標識(openid)和會話密鑰(session_key)
首先,我們使用wx.request()方法,請求我們自己實現的一個后台API,並將登錄憑證(code)攜帶過去,例如在我們前面代碼的基礎上增加:
1 App({ 2 onLaunch: function() { 3 wx.login({ 4 success: function(res) { 5 var code = res.code; 6 if (code) { 7 console.log('獲取用戶登錄憑證:' + code); 8 9 // --------- 發送憑證 ------------------ 10 wx.request({ 11 url: 'https://www.my-domain.com/wx/onlogin', 12 data: { code: code } 13 }) 14 // ------------------------------------ 15 16 } else { 17 console.log('獲取用戶登錄態失敗:' + res.errMsg); 18 } 19 } 20 }); 21 } 22 })
你的后台服務(/wx/onlogin)接着需要使用這個傳遞過來的登錄憑證,去調用微信接口換取openid和session_key,接口地址格式如下所示:
https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code
這里是我使用了Node.js Express構建的后台服務的代碼,僅供參考:
1 router.get('/wx/onlogin', function (req, res, next) { 2 let code = req.query.code 3 4 request.get({ 5 uri: 'https://api.weixin.qq.com/sns/jscode2session', 6 json: true, 7 qs: { 8 grant_type: 'authorization_code', 9 appid: '你小程序的APPID', 10 secret: '你小程序的SECRET', 11 js_code: code 12 } 13 }, (err, response, data) => { 14 if (response.statusCode === 200) { 15 console.log("[openid]", data.openid) 16 console.log("[session_key]", data.session_key) 17 18 //TODO: 生成一個唯一字符串sessionid作為鍵,將openid和session_key作為值,存入redis,超時時間設置為2小時 19 //偽代碼: redisStore.set(sessionid, openid + session_key, 7200) 20 21 res.json({ sessionid: sessionid }) 22 } else { 23 console.log("[error]", err) 24 res.json(err) 25 } 26 }) 27 })
這段后台代碼成功執行的話,就可以得到openid和session_key。這個信息就是當前微信賬戶在微信服務器那邊的登錄態了。
但是,為了安全方面的原因,請不要直接使用這些信息作為你小程序的用戶標識和session標識回傳到小程序客戶端中去,我們應該在服務器端做一層自己的session,將這個微信賬號登錄態生成一個session id並維護在我們自己的session機制中,然后把這個session id派發到小程序客戶端作為session標識來使用。
關於如何在服務器端做這個session機制,我們現在一般采用鍵值對存儲工具來做,比如redis。我們為每個session生成一個唯一的字符串作為鍵,然后可以將session_key和openid作為值,存入redis中,為了安全,存入的時候還應設置一個超時的時間。
步驟3:在客戶端保存sessionid
開發Web應用的時候,在客戶端(瀏覽器)中,我們通常將session id存放在cookie中,但是小程序沒有cookie機制,所以不能采用cookie了,但是小程序有本地的storage,所以我們可以使用storage來保存sessionid,以供后續的后台API調用所使用。
在之后,調用那些需要登錄后才有權限的訪問的后台服務時,你可以將保存在storage中的sessionid取出並攜帶在請求中(可以放在header中攜帶,也可以放在querystring中,或是放在body中,根據你自己的需要來使用),傳遞到后台服務,后台代碼中獲取到該sessionid后,從redis中查找是否有該sessionid存在,存在的話,即確認該session是有效的,繼續后續的代碼執行,否則進行錯誤處理。
這是一個需要session驗證的后台服務示例,我的sessionid是放在header中傳遞的,所以在這個示例中,是從請求的header中獲取sessionid:
router.get('/wx/products/list', function (req, res, next) {
let sessionid = req.header("sessionid")
let sessionVal = redisStore.get(sessionid)
if (sessionVal) {
// 執行其他業務代碼
} else {
// 執行錯誤處理
}
})
好了,通過微信賬號進行小程序登錄和狀態維護的簡單流程就是這樣,了解這些知識點之后,再基於此進行后續的開發就會變得更容易了。
另外,騰訊前端團隊也開源了他們封裝的相關庫,可以借鑒和使用。
- 服務器端庫 weapp-session
- 小程序端庫 weapp-session-client
文章出處:一斤代碼大神