微信小程序登录的坑

kumfo
English

前情概要

  1. 小程序端有 wx.login 获取code,然后后端通过 code 换取 session_key
  2. 小程序端有 wx.getUserInfo 获取用户信息

一开始处理登录的时候,前端通过 wx.login 获取到 code,然后通过 wx.getUserInfo 获取用户相关的信息,一起传递给后端,后端进行 sha1 验证,但是每次登录的时候,第一次验证不通过,导致登录不成功,需要第二次进行登录。

本身接口的设计就是通过 code 获取到 session_keyunionid 进行验证,如果数据库存在就直接进行当前用户登录,不存在通过 sha1 验证用户信息成功后,解密用户信息获取用户数据并进行自动注册后登录。

问题分析

小程序的文档,我仔细看了下,没发现有说明这两个接口调用的先后顺序,多次测试不成功之后才发现:

  1. 小程序调用 wx.login 的时候,并不会在微信小程序自己的服务器上生成 session_key
  2. session_key 有过期时间,具体过期时间小程序文档的说明是,使用小程序越频繁过期时间越久;
  3. code 有过期时间,过期时间5分钟;
  4. 每次调用 wx.login 获取到的 code 不一样,但是如果 session_key 没有过期,那么后端通过接口取到的 session_key 和上一次 code 取到的 session_key 一致;
  5. 小程序端通过 wx.getUserInfo 获取到的信息,相关的 signature 依赖于 wx.login 所产生的 session_key 进行加密;

以上是小程序的机制,从这里来看,按理来说,调用 wx.login 然后再调用 wx.getUserInfo 接口获取用户数据,传递到后端,再请求 session_key 然后验证用户数据进行自动注册应该来说是可行的,但实际上坑就再第一点。

也就是说,小程序端调用 wx.getUserInfo获取用户信息的时候,使用的是上一次服务端请求产生的session_key,当数据一起传送到后端的时候,通过code获取数据,但是此时上次的session_key已经过期了,会返回新的session_key,然后就会导致验证不通过。

所以整体上来说,后端应该先通过 wx.login 接口的 code 在后端获取到 session_key 以及 unionid,如果 unionid 检测当前用户不存在,缓存 session_keyunionid,再告知前端通过 wx.getUserInfo 接口向后端请求并进行注册绑定。

阅读 3.1k

Kumfo的杂货铺
做一些经验总结和一些学习心得分享,主要围绕PHP。 现在正在学习机器学习,会增加一些机器学习的思考分享。
avatar
kumfo
SegmentFault 后端工程师

程序生存法则:ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...

6.2k 声望
4k 粉丝
0 条评论
avatar
kumfo
SegmentFault 后端工程师

程序生存法则:ฏ๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎๎...

6.2k 声望
4k 粉丝
文章目录
宣传栏