头图

扫码登录的实现原理

RFC6749

OAuth 2.0 规定了四种获得令牌的流程:

  • 授权码(authorization-code)
  • 隐藏式(implicit)
  • 密码式(password):
  • 客户端凭证(client credentials)

而一般扫码登录的网站都是使用的授权码方式实现的;也就是:

通过向三方登录系统获取授权码,在通过授权码+client_id信息向三方获取令牌,通过令牌就可以获取用户在三方的信息

微信扫码登录流程

要想实现微信登录首先需要有一个已经审核通过的网站,并获得相应的AppIDAppSecret,并且申请通过了微信登录的权限

流程

  • 用户通过点击网站微信授权登录按钮,进入微信授权登录页面,链接:https://open.weixin.qq.com/connect/qrconnect?appid=${APPID}&redirect_uri=${REDIRECT_URI}&response_type=code&scope=snsapi_login&state=${STATE}#wechat_redirect;

    • appid: 必填,在开发者平台申请的唯一id,是应用的唯一标识,同时微信官方也可以通过这个id知道请求方是谁
    • redirect_uri: 必填,当用户同意或拒绝后的跳转地址,同时会携带一个code授权码,例:https://slbyml.github.io//cal...
    • response_type: 必填, 标识返回的授权码(code)(超时时间为10分钟)
    • scope: 必填,代表授权做用户,一般为snsapi_login
    • state 非必填,此为微信官方加的,用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验
  • 微信官方对链接验证通过后会返回一个二维码,同时浏览器端通过长轮询(long-polling)的方式请求微信服务器,并通过返回状态确定用户是否扫码和授权
  • 当用户通过手机扫码并授权后,微信后端会调用回调地址redirect_uri,并将授权临时票据(code)返回
  • 我们的后端拿到票据后,会继续请求微信服务器去获取授权令牌(access_token):地址:https://api.weixin.qq.com/sns/oauth2/access_token?appid=${APPID}&secret=${SECRET}&code=${CODE}&grant_type=${authorization_code}

    • appid: 唯一标识
    • secret: 应用密钥,通过appid+secret可以确认网站的身份
    • code: 上一步拿到的授权码
    • grant_type: 填authorization_code,表示采用的授权方式是授权码
  • 微信后端确认无误后会返回带有access_token的JSON数据
  • 我们拿到access_token就可以通过令牌调用微信接口获取用户数据

参考


前端
前端基础,前端深入研究,前端交流

在学习前端中摸爬滚打多年,依然很菜,以后继续加油

102 声望
0 粉丝
0 条评论
推荐阅读
手拉手基于vuepress2搭建专属自己的博客,并集成评论、打赏、搜索等常用功能
两年前,我弃用了原来的hexo博客系统,并用vuepress1.4.1版本快速搭建了自己现在的专属静态博客系统。并一直更新维护至今。博客内陆陆续续的定制了自己的个性首页和列表页,扩展了评论、footer、复制、图片预览等...

一介码农阅读 380

封面图
从零搭建 Node.js 企业级 Web 服务器(零):静态服务
过去 5 年,我前后在菜鸟网络和蚂蚁金服做开发工作,一方面支撑业务团队开发各类业务系统,另一方面在自己的技术团队做基础技术建设。期间借着 Node.js 的锋芒做了不少 Web 系统,有的至今生气蓬勃、有的早已夭折...

乌柏木141阅读 11.9k评论 10

从零搭建 Node.js 企业级 Web 服务器(十五):总结与展望
总结截止到本章 “从零搭建 Node.js 企业级 Web 服务器” 主题共计 16 章内容就更新完毕了,回顾第零章曾写道:搭建一个 Node.js 企业级 Web 服务器并非难事,只是必须做好几个关键事项这几件必须做好的关键事项就...

乌柏木60阅读 5.9k评论 16

再也不学AJAX了!(二)使用AJAX ① XMLHttpRequest
「再也不学 AJAX 了」是一个以 AJAX 为主题的系列文章,希望读者通过阅读本系列文章,能够对 AJAX 技术有更加深入的认识和理解,从此能够再也不用专门学习 AJAX。本篇文章为该系列的第二篇,最近更新于 2023 年 1...

libinfs39阅读 6.1k评论 12

封面图
从零搭建 Node.js 企业级 Web 服务器(一):接口与分层
分层规范从本章起,正式进入企业级 Web 服务器核心内容。通常,一块完整的业务逻辑是由视图层、控制层、服务层、模型层共同定义与实现的,如下图:从上至下,抽象层次逐渐加深。从下至上,业务细节逐渐清晰。视图...

乌柏木39阅读 7.1k评论 6

【关于Javascript】--- 正则表达式篇
基础知识一、元字符 {代码...} 二、量词 {代码...} 三、集合 字符类 {代码...} 四、分支 {代码...} 五、边界 开始结束 {代码...} 六、修饰符 {代码...} 七、贪婪模式和非贪婪模式js默认贪婪模式即最大可能的匹配...

Jerry35阅读 2.9k

从零搭建 Node.js 企业级 Web 服务器(二):校验
校验就是对输入条件的约束,避免无效的输入引起异常。Web 系统的用户输入主要为编辑与提交各类表单,一方面校验要做在编辑表单字段与提交的时候,另一方面接收表单的接口也要做足校验行为,通过前后端共同控制输...

乌柏木32阅读 6k评论 9

在学习前端中摸爬滚打多年,依然很菜,以后继续加油

102 声望
0 粉丝
宣传栏