摘要:小程序的登錄跟平時(shí)自己這種登錄驗(yàn)證還不太一樣���,多了一個(gè)角色�,那就是微信服務(wù)器����。的有效期默認(rèn)是小時(shí),當(dāng)用戶一直在使用小程序的話會(huì)自動(dòng)刷新�,這個(gè)是由微信這邊來維護(hù)的。
最近團(tuán)隊(duì)在開發(fā)一款小程序�,都是新手,一邊看文檔���,一邊開發(fā)���。在開發(fā)中會(huì)遇到各種問題,今天把小程序登錄這塊的流程整理下����,做個(gè)記錄。
小程序的登錄跟平時(shí)自己APP這種登錄驗(yàn)證還不太一樣,多了一個(gè)角色�,那就是微信服務(wù)器。
根據(jù)微信官方提供的登錄流程時(shí)序圖可以清楚的了解小程序登錄需要多少個(gè)步驟����,下面我們來總結(jié)下:
小程序啟動(dòng),通過wx.login()獲取code
開發(fā)者服務(wù)器需要提供一個(gè)登錄的接口��,參數(shù)就是小程序獲取的code
登錄接口收到code后��,調(diào)用微信提供的接口進(jìn)行code的驗(yàn)證
得到驗(yàn)證結(jié)果�����,成功后能得到一個(gè)session_key和openid
生成一個(gè)自定義的key, 將session_key和openid跟自定義的key關(guān)聯(lián)起來
將自定義的key返回給小程序
每次請(qǐng)求都帶上key, 后端根據(jù)key獲取openid識(shí)別當(dāng)前用戶身份
首先code是微信給的�,如果你隨意生成code去驗(yàn)證肯定是無效的����,只有微信給的code才有效。code傳到開發(fā)者自己的服務(wù)后�����,再去問微信:
Hi 哥們���,我這個(gè)code是有效的還是無效的?��?�?
微信會(huì)告訴你是有效還是無效���,有效的情況下還會(huì)給你一個(gè)用戶的標(biāo)識(shí),也就是openid�,同時(shí)還會(huì)有一個(gè)session_key,也就是會(huì)話的key���。session_key的有效期默認(rèn)是2小時(shí)���,當(dāng)用戶一直在使用小程序的話會(huì)自動(dòng)刷新,這個(gè)是由微信這邊來維護(hù)的���。
注意:
會(huì)話密鑰?session_key?是對(duì)用戶數(shù)據(jù)進(jìn)行?加密簽名?的密鑰����。為了應(yīng)用自身的數(shù)據(jù)安全�����,開發(fā)者服務(wù)器不應(yīng)該把會(huì)話密鑰下發(fā)到小程序,也不應(yīng)該對(duì)外提供這個(gè)密鑰�����。
臨時(shí)登錄憑證 code 只能使用一次
所以我們要為session_key創(chuàng)建別名�,這個(gè)別名關(guān)聯(lián)的哪個(gè)用戶只有我們自己知道,唯一需要做的工作就在這塊�����。
我推薦2種方式來做關(guān)聯(lián):
第一種:
隨機(jī)生成key, 關(guān)聯(lián)openid��,存入redis中�����,當(dāng)請(qǐng)求帶入key��,直接從redis中獲取openid得到當(dāng)前用戶信息�����,這個(gè)其實(shí)也就是我們自己去維護(hù)了會(huì)話信息
第二種:
采用JWT生成token�,將openid綁定到token中����,將token返回給小程序�����,請(qǐng)求的時(shí)候帶上token��,通過解析token得到用戶信息����。
下面我們以第二種方式來進(jìn)行講解�,會(huì)貼上部分代碼:
小程序中在app.js中的onLaunch方法中增加獲取code方法,并且調(diào)用后端的登錄接口獲取token:
wx.login({
success: function (res) {
var code = res.code;
if (code) {
console.log("app啟動(dòng)獲取用戶登錄憑證:" + code);
let params = { "code": code };
let result = config.requestHttp(config.url.userLogin, "POST", params)
result.then(res => {
let data = res.data
if (data.code == 200) {
wx.setStorageSync("login_token", data.data.token);
}
}).catch(err => {
console.log(err)
});
} else {
console.log("獲取用戶登錄態(tài)失?。? + res.errMsg);
}
}
})
userLogin接口則根據(jù)小程序的code去調(diào)用微信接口驗(yàn)證:
// 小程序獲取SessionKey接口地址
String loginUrl = "https://api.weixin.qq.com/sns/jscode2session";
String url = loginUrl + "?appid=%s&secret=%s&grant_type=%s&js_code=%s";
url = String.format(url, appid, appSecret, grantType, param.getCode());
String result = restTemplate.getForObject(url, String.class);
Map map = JsonUtils.toBean(Map.class, result);
// 請(qǐng)求成功
if (map.containsKey("session_key")) {
String openid = map.get("openid").toString();
// 第一次保存到用戶表,生成JWT TOKEN返回
}
小程序端需要將 wx.request()封裝成一個(gè)通用的方法���,所有跟后臺(tái)交互都用這個(gè)方法來調(diào)用接口�,我們可以在這個(gè)方法中設(shè)置登錄之后獲取的Token����。這樣每次請(qǐng)求都會(huì)將Token塞到請(qǐng)求頭中,我們?cè)诰W(wǎng)關(guān)中就可以獲取這個(gè)Token進(jìn)行解析驗(yàn)證��。
//請(qǐng)求封裝
function requestHttp(url, method, data) {
//請(qǐng)求頭設(shè)置
var header = {
Authorization: wx.getStorageSync("login_token")
}
return new Promise((resolve, reject) => {
wx.request({
url: config.home_config + url,
data: data,
header: header,
method: method,
success: (res => {
if (res.data.code === 200) {
resolve(res)
} else {
reject(res)
}
}),
fail: (res => {
reject(res)
})
})
})
}
Zuul中進(jìn)行驗(yàn)證:
RequestContext ctx = RequestContext.getCurrentContext();
HttpServletRequest request = ctx.getRequest();
String token = request.getHeader("Authorization");
if (StringUtils.isBlank(token)) {
ctx.setSendZuulResponse(false);
ctx.set("isSuccess", false);
ctx.setResponseBody(JsonUtils.toJson(Response.fail("非法請(qǐng)求【缺少Authorization】", ResponseCode.NO_AUTH_CODE)));
ctx.getResponse().setContentType("application/json; charset=utf-8");
return null;
}
// 驗(yàn)證Token是否有效
JWTResult jwResult = JWTUtils.checkToken(token);
if (!jwResult.isStatus()) {
ctx.setSendZuulResponse(false);
ctx.set("isSuccess", false);
ctx.setResponseBody(JsonUtils.toJson(Response.fail(jwResult.getMsg(), jwResult.getCode())));
ctx.getResponse().setContentType("application/json; charset=utf-8");
return null;
}
ctx.addZuulRequestHeader("loginUserId", jwResult.getUid());
return null;
驗(yàn)證成功后將用戶ID設(shè)置到請(qǐng)求頭中���,傳遞給后端服務(wù)使用��。
使用JWT必然有一個(gè)問題是Token的失效問題�,我這邊失效時(shí)間設(shè)置的為2個(gè)小時(shí),正常的話用戶打開小程序�,使用不可能連續(xù)超過2個(gè)小時(shí),登錄的邏輯是在app.js中做的��,只要下次進(jìn)去token就會(huì)重新申請(qǐng)����。不過這個(gè)也可以調(diào)整,比如稍微長一點(diǎn)�����。
核心就是用戶的認(rèn)證交給了微信�,只要微信告訴我們認(rèn)證成功了,我們就可以自己接管會(huì)話信息了�����。
歡迎加入我的知識(shí)星球�,一起交流技術(shù)�,免費(fèi)學(xué)習(xí)猿天地的課程(http://cxytiandi.com/course)
文章版權(quán)歸作者所有�,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/73535.html
