微信小程序登录的坑
前情概要
小程序端有 wx.login 获取code,然后后端通过 code 换取 session_key;
小程序端有 wx.getUserInfo 获取用户信息
一开始处理登录的时候,前端通过 wx.login 获取到 code,然后通过 wx.getUserInfo 获取用户相关的信息,一起传递给后端,后端进行 sha1 验证,但是每次登录的时候,第一次验证不通过,导致登录不成功,需要第二次进行登录。
本身接口的设计就是通过 code 获取到 session_key 和 unionid 进行验证,如果数据库存在就直接进行当前用户登录,不存在通过 sha1 验证用户信息成功后,解密用户信息获取用户数据并进行自动注册后登录。
问题分析
小程序的文档,我仔细看了下,没发现有说明这两个接口调用的先后顺序,多次测试不成功之后才发现:
小程序调用 wx.login 的时候,并不会在微信小程序自己的服务器上生成 session_key;
session_key 有过期时间,具体过期时间小程序文档的说明是,使用小程序越频繁过期时间越久;
code 有过期时间,过期时间5分钟;
每次调用 wx.login 获取到的 code 不一样,但是如果 session_key 没有过期,那么后端通过接口取到的 session_key 和上一次 code 取到的 session_key 一致;
小程序端通过 wx.getUserInfo 获取到的信息,相关的 signature 依赖于 wx.login 所产生的 session_key 进行加密;
以上是小程序的机制,从这里来看,按理来说,调用 wx.login 然后再调用 wx.getUserInfo 接口获取用户数据,传递到后端,再请求 session_key 然后验证用户数据进行自动注册应该来说是可行的,但实际上坑就再第一点。
也就是说,小程序端调用 wx.getUserInfo获取用户信息的时候,使用的是上一次服务端请求产生的session_key,当数据一起传送到后端的时候,通过code获取数据,但是此时上次的session_key已经过期了,会返回新的session_key,然后就会导致验证不通过。
所以整体上来说,后端应该先通过 wx.login 接口的 code 在后端获取到 session_key 以及 unionid,如果 unionid 检测当前用户不存在,缓存 session_key 和 unionid,再告知前端通过 wx.getUserInfo 接口向后端请求并进行注册绑定。
来自:https://segmentfault.com/a/1190000040312021
本文内容仅供个人学习、研究或参考使用,不构成任何形式的决策建议、专业指导或法律依据。未经授权,禁止任何单位或个人以商业售卖、虚假宣传、侵权传播等非学习研究目的使用本文内容。如需分享或转载,请保留原文来源信息,不得篡改、删减内容或侵犯相关权益。感谢您的理解与支持!
