微信登錄介紹:
微信OAuth2.0授權登錄讓微信用戶使用微信身份安全登錄第三方應用或網站,在微信用戶授權登錄已接入微信OAuth2.0的第三方應用后,第三方可以獲取到用戶的接口調用憑證(access_token),通過access_token可以進行微信開放平台授權關系接口調用,從而可實現獲取微信用戶基本開放信息和幫助用戶實現基礎開放功能等。
准備工作:
在進行微信OAuth2.在進行微信OAuth2.0授權登錄接入之前,在微信開放平台注冊開發者帳號,並擁有一個已審核通過的網站應用,並獲得相應的AppID和AppSecret,申請微信登錄且通過審核后,可開始接入流程。
創建網站應用
在創建網站應用快要完成的時候會設置一個返回域,此域要跟代碼的返回地址一致(授權回調域最好寫一級域名)。
提交審核,等待獲取到APPID和AppSecret
接入流程示意圖:
代碼操作示例:
流程示意圖:
第一步:請求CODE
第三方使用網站應用授權登錄前請注意已獲取相應網頁授權作用域(scope=snsapi_login),則可以通過在PC端打開以下鏈接:
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
注:若提示“該鏈接無法訪問”,請檢查參數是否填寫錯誤,如redirect_uri的域名與審核時填寫的授權域名不一致或scope不為snsapi_login。
參數說明
返回說明
用戶允許授權后,將會重定向到redirect_uri的網址上,並且帶上code和state參數
若用戶禁止授權,則重定向后不會帶上code參數,僅會帶上state參數
第二步:通過code獲取access_token
通過code獲取access_token:
參數說明
返回說明
錯誤返回樣例:{"errcode":40029,"errmsg":"invalid code"}
刷新access_token有效期
access_token是調用授權關系接口的調用憑證,由於access_token有效期(目前為2個小時)較短,當access_token超時后,可以使用refresh_token進行刷新,access_token刷新結果有兩種:
refresh_token擁有較長的有效期(30天),當refresh_token失效的后,需要用戶重新授權。
請求方法
獲取第一步的code后,請求以下鏈接進行refresh_token:
參數說明
返回說明
正確的返回:
錯誤返回樣例:{"errcode":40030,"errmsg":"invalid refresh_token"}
注意:
1、Appsecret 是應用接口使用密鑰,泄漏后將可能導致應用數據泄漏、應用的用戶數據泄漏等高風險后果;存儲在客戶端,極有可能被惡意竊取(如反編譯獲取Appsecret);
2、access_token 為用戶授權第三方應用發起接口調用的憑證(相當於用戶登錄態),存儲在客戶端,可能出現惡意獲取access_token 后導致的用戶數據泄漏、用戶微信相關接口功能被惡意發起等行為;
3、refresh_token 為用戶授權第三方應用的長效憑證,僅用於刷新access_token,但泄漏后相當於access_token 泄漏,風險同上。
第三步:通過access_token調用接口
獲取access_token后,進行接口調用,有以下前提:
對於接口作用域(scope),能調用的接口有以下:
附加二維碼登錄代碼示例:
步驟1:在頁面中先引入如下JS文件(支持https):
步驟2:在需要使用微信登錄的地方實例以下JS對象:
注:引入代碼前要有占位容器來進行顯示
參數說明
| 參數 |
是否必須 |
說明 |
| id |
是 |
第三方頁面顯示二維碼的容器id |
| appid |
是 |
應用唯一標識,在微信開放平台提交應用審核通過后獲得 |
| scope |
是 |
應用授權作用域,擁有多個作用域用逗號(,)分隔,網頁應用目前僅填寫snsapi_login即可 |
| redirect_uri |
是 |
重定向地址,需要進行UrlEncode |
| state |
否 |
用於保持請求和回調的狀態,授權請求后原樣帶回給第三方。該參數可用於防止csrf攻擊(跨站請求偽造攻擊),建議第三方帶上該參數,可設置為簡單的隨機數加session進行校驗 |
| style |
否 |
提供"black"、"white"可選,默認為黑色文字描述。詳見FAQ |
| href |
否 |
自定義樣式鏈接,第三方可根據實際需求覆蓋默認樣式。詳見FAQ |
F.A.Q
1. 什么是授權臨時票據(code)?
答:第三方通過code進行獲取access_token的時候需要用到,code的超時時間為10分鍾,一個code只能成功換取一次access_token即失效。code的臨時性和一次保障了微信授權登錄的安全性。第三方可通過使用https和state參數,進一步加強自身授權登錄的安全性。
2. 什么是授權作用域(scope)?
答:授權作用域(scope)代表用戶授權給第三方的接口權限,第三方應用需要向微信開放平台申請使用相應scope的權限后,使用文檔所述方式讓用戶進行授權,經過用戶授權,獲取到相應access_token后方可對接口進行調用。
3. 網站內嵌二維碼微信登錄JS代碼中style字段作用?
答:第三方頁面顏色風格可能為淺色調或者深色調,若第三方頁面為淺色背景,style字段應提供"black"值(或者不提供,black為默認值),則對應的微信登錄文字樣式為黑色。
4.網站內嵌二維碼微信登錄JS代碼中href字段作用?
答:如果第三方覺得微信團隊提供的默認樣式與自己的頁面樣式不匹配,可以自己提供樣式文件來覆蓋默認樣式。