微信小程序登录的坑

前情概要

1. 小程序端有 wx.login 获取code，然后后端通过 code 换取 session_key；
2. 小程序端有 wx.getUserInfo 获取用户信息

一开始处理登录的时候，前端通过 wx.login 获取到 code，然后通过 wx.getUserInfo 获取用户相关的信息，一起传递给后端，后端进行 sha1 验证，但是每次登录的时候，第一次验证不通过，导致登录不成功，需要第二次进行登录。

本身接口的设计就是通过 code 获取到 session_key 和 unionid 进行验证，如果数据库存在就直接进行当前用户登录，不存在通过 sha1 验证用户信息成功后，解密用户信息获取用户数据并进行自动注册后登录。

问题分析

小程序的文档，我仔细看了下，没发现有说明这两个接口调用的先后顺序，多次测试不成功之后才发现：

1. 小程序调用 wx.login 的时候，并不会在微信小程序自己的服务器上生成 session_key；
2. session_key 有过期时间，具体过期时间小程序文档的说明是，使用小程序越频繁过期时间越久；
3. code 有过期时间，过期时间5分钟；
4. 每次调用 wx.login 获取到的 code 不一样，但是如果 session_key 没有过期，那么后端通过接口取到的 session_key 和上一次 code 取到的 session_key 一致；
5. 小程序端通过 wx.getUserInfo 获取到的信息，相关的 signature 依赖于 wx.login 所产生的 session_key 进行加密；

以上是小程序的机制，从这里来看，按理来说，调用 wx.login 然后再调用 wx.getUserInfo 接口获取用户数据，传递到后端，再请求 session_key 然后验证用户数据进行自动注册应该来说是可行的，但实际上坑就再第一点。

也就是说，小程序端调用 wx.getUserInfo获取用户信息的时候，使用的是上一次服务端请求产生的session_key，当数据一起传送到后端的时候，通过code获取数据，但是此时上次的session_key已经过期了，会返回新的session_key，然后就会导致验证不通过。

所以整体上来说，后端应该先通过 wx.login 接口的 code 在后端获取到 session_key 以及 unionid，如果 unionid 检测当前用户不存在，缓存 session_key 和 unionid，再告知前端通过 wx.getUserInfo 接口向后端请求并进行注册绑定。