移动应用微信登陆开发指南
https://open.weixin.qq.com/cgi-bin/showdocument?action=dir_list&t=resource/res_list&verify=1&id=open1419317851&token=&lang=zh_CNapi
准备工做安全
移动应用微信登陆是基于OAuth2.0协议标准 构建的微信OAuth2.0受权登陆系统。服务器
在进行微信OAuth2.0受权登陆接入以前,在微信开放平台注册开发者账号,并拥有一个已审核经过的移动应用,并得到相应的AppID和AppSecret,申请微信登陆且经过审核后,可开始接入流程。微信
一、目前移动应用上微信登陆只提供原生的登陆方式,须要用户安装微信客户端才能配合使用。
二、对于Android应用,建议老是显示微信登陆按钮,当用户手机没有安装微信客户端时,请引导用户下载安装微信客户端。
三、对于iOS应用,考虑到iOS应用商店审核指南中的相关规定,建议开发者接入微信登陆时,先检测用户手机是否已安装微信客户端(使用sdk中isWXAppInstalled函数 ),对未安装的用户隐藏微信登陆按钮,只提供其余登陆方式(好比手机号注册登陆、游客登陆等)。
受权流程说明session
微信OAuth2.0受权登陆让微信用户使用微信身份安全登陆第三方应用或网站,在微信用户受权登陆已接入微信OAuth2.0的第三方应用后,第三方能够获取到用户的接口调用凭证(access_token),经过access_token能够进行微信开放平台受权关系接口调用,从而可实现获取微信用户基本开放信息和帮助用户实现基础开放功能等。app
微信OAuth2.0受权登陆目前支持authorization_code模式,适用于拥有server端的应用受权。该模式总体流程为:函数
1. 第三方发起微信受权登陆请求,微信用户容许受权第三方应用后,微信会拉起应用或重定向到第三方网站,而且带上受权临时票据code参数;
2. 经过code参数加上AppID和AppSecret等,经过API换取access_token;
3. 经过access_token进行接口调用,获取用户基本数据资源或帮助用户实现基本操做。
获取access_token时序图:网站
第一步:请求CODE.net
移动应用微信受权登陆code
开发者须要配合使用微信开放平台提供的SDK进行受权登陆请求接入。正确接入SDK后并拥有相关受权域(scope,什么是受权域?)权限后,开发者移动应用会在终端本地拉起微信应用进行受权登陆,微信用户确认后微信将拉起开发者移动应用,并带上受权临时票据(code)。
iOS平台应用受权登陆接入代码示例(请参考iOS接入指南):
-(void)sendAuthRequest
{
//构造SendAuthReq结构体
SendAuthReq* req =[[[SendAuthReq alloc]init]autorelease];
req.scope = @"snsapi_userinfo";
req.state = @"123";
//第三方向微信终端发送一个SendAuthReq消息结构
[WXApi sendReq:req];
}
Android平台应用受权登陆接入代码示例(请参考Android接入指南):
{
// send oauth request
Final SendAuth.Req req = new SendAuth.Req();
req.scope = "snsapi_userinfo";
req.state = "wechat_sdk_demo_test";
api.sendReq(req);
}
参数说明
| 参数 | 是否必须 | 说明 |
|---|---|---|
| appid | 是 | 应用惟一标识,在微信开放平台提交应用审核经过后得到 |
| scope | 是 | 应用受权做用域,如获取用户我的信息则填写snsapi_userinfo( 什么是受权域? ) |
| state | 否 | 用于保持请求和回调的状态,受权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加session进行校验 |
返回示例:
appid: wxd477edab60670232
scope: snsapi_userinfo
state: wechat_sdk_demo
可拉起微信打开受权登陆页:
返回说明
用户点击受权后,微信客户端会被拉起,跳转至受权界面,用户在该界面点击容许或取消,SDK经过SendAuth的Resp返回数据给调用方。
| 返回值 | 说明 |
|---|---|
| ErrCode | ERR_OK = 0(用户赞成) ERR_AUTH_DENIED = -4(用户拒绝受权) ERR_USER_CANCEL = -2(用户取消) |
| code | 用户换取access_token的code,仅在ErrCode为0时有效 |
| state | 第三方程序发送时用来标识其请求的惟一性的标志,由第三方程序调用sendReq时传入,由微信终端回传,state字符串长度不能超过1K |
| lang | 微信客户端当前语言 |
| country | 微信用户当前国家信息 |
第二步:经过code获取access_token
获取第一步的code后,请求如下连接获取access_token:
https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code
参数说明
| 参数 | 是否必须 | 说明 |
|---|---|---|
| appid | 是 | 应用惟一标识,在微信开放平台提交应用审核经过后得到 |
| secret | 是 | 应用密钥AppSecret,在微信开放平台提交应用审核经过后得到 |
| code | 是 | 填写第一步获取的code参数 |
| grant_type | 是 | 填authorization_code |
返回说明
正确的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE",
"unionid":"o6_bmasdasdsad6_2sgVt7hMZOPfL"
}
| 参数 | 说明 |
|---|---|
| access_token | 接口调用凭证 |
| expires_in | access_token接口调用凭证超时时间,单位(秒) |
| refresh_token | 用户刷新access_token |
| openid | 受权用户惟一标识 |
| scope | 用户受权的做用域,使用逗号(,)分隔 |
| unionid | 当且仅当该移动应用已得到该用户的userinfo受权时,才会出现该字段 |
错误返回样例:
{"errcode":40029,"errmsg":"invalid code"}
刷新access_token有效期
access_token是调用受权关系接口的调用凭证,因为access_token有效期(目前为2个小时)较短,当access_token超时后,可使用refresh_token进行刷新,access_token刷新结果有两种:
1. 若access_token已超时,那么进行refresh_token会获取一个新的access_token,新的超时时间;
2. 若access_token未超时,那么进行refresh_token不会改变access_token,但超时时间会刷新,至关于续期access_token。
refresh_token拥有较长的有效期(30天),当refresh_token失效的后,须要用户从新受权。
请求方法
获取第一步的code后,请求如下连接进行refresh_token:
https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN
参数说明
| 参数 | 是否必须 | 说明 |
|---|---|---|
| appid | 是 | 应用惟一标识 |
| grant_type | 是 | 填refresh_token |
| refresh_token | 是 | 填写经过access_token获取到的refresh_token参数 |
返回说明
正确的返回:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
| 参数 | 说明 |
|---|---|
| access_token | 接口调用凭证 |
| expires_in | access_token接口调用凭证超时时间,单位(秒) |
| refresh_token | 用户刷新access_token |
| openid | 受权用户惟一标识 |
| scope | 用户受权的做用域,使用逗号(,)分隔 |
错误返回样例:
{"errcode":40030,"errmsg":"invalid refresh_token"}
注意:
一、Appsecret 是应用接口使用密钥,泄漏后将可能致使应用数据泄漏、应用的用户数据泄漏等高风险后果;存储在客户端,极有可能被恶意窃取(如反编译获取Appsecret);
二、access_token 为用户受权第三方应用发起接口调用的凭证(至关于用户登陆态),存储在客户端,可能出现恶意获取access_token 后致使的用户数据泄漏、用户微信相关接口功能被恶意发起等行为;
三、refresh_token 为用户受权第三方应用的长效凭证,仅用于刷新access_token,但泄漏后至关于access_token 泄漏,风险同上。
建议将Appsecret、用户数据(如access_token)放在App云端服务器,由云端中转接口调用请求。
第三步:经过access_token调用接口
获取access_token后,进行接口调用,有如下前提:
- access_token有效且未超时;
- 微信用户已受权给第三方应用账号相应接口做用域(scope)。
对于接口做用域(scope),能调用的接口有如下:
| 受权做用域(scope) | 接口 | 接口说明 |
|---|---|---|
| snsapi_base | /sns/oauth2/access_token | 经过code换取access_token、refresh_token和已受权scope |
| /sns/oauth2/refresh_token | 刷新或续期access_token使用 | |
| /sns/auth | 检查access_token有效性 | |
| snsapi_userinfo | /sns/userinfo | 获取用户我的信息 |
其中snsapi_base属于基础接口,若应用已拥有其它scope权限,则默认拥有snsapi_base的权限。使用snsapi_base可让移动端网页受权绕过跳转受权登陆页请求用户受权的动做,直接跳转第三方网页带上受权临时票据(code),但会使得用户已受权做用域(scope)仅为snsapi_base,从而致使没法获取到须要用户受权才容许得到的数据和基础功能。
接口调用方法可查阅《微信受权关系接口调用指南》
F.A.Q
1. 什么是受权临时票据(code)?
答:第三方经过code进行获取access_token的时候须要用到,code的超时时间为10分钟,一个code只能成功换取一次access_token即失效。code的临时性和一次保障了微信受权登陆的安全性。第三方可经过使用https和state参数,进一步增强自身受权登陆的安全性。
2. 什么是受权做用域(scope)?
答:受权做用域(scope)表明用户受权给第三方的接口权限,第三方应用须要向微信开放平台申请使用相应scope的权限后,使用文档所述方式让用户进行受权,通过用户受权,获取到相应access_token后方可对接口进行调用。
3.开放平台移动应用微信登陆目前是否收费?
答:“微信登陆”和第三方网站共享微信庞大的用户价值,同时为微信用户提供更便捷服务和更优质内容,实现双向双赢,目前不收取任何费用。
- 1. 网站应用微信登陆开发指南
- 2. 第三方网站应用微信登陆开发指南
- 3. 网站应用微信登陆功能接口开发指南
- 4. 移动应用微信图像接口开发指南 (iOS版)
- 5. 微信扫描二维码登陆网站 网站应用微信登陆开发指南
- 6. 移动IM开发指南3:如何优化登陆模块
- 7. C#开发——网站应用微信登陆开发
- 8. 移动端对接微信登陆
- 9. Unity开发微信登陆—利用ShareSDK微信登录
- 10. 无需公众号PHP微信登陆微信受权微信第三方登陆微信开发php开发
- 更多相关文章...
- • SQL 指南 - 网站建设指南
- • HTML 指南 - 网站建设指南
- • PHP开发工具
- • Spring Cloud 微服务实战(三) - 服务注册与发现
-
每一个你不满意的现在,都有一个你没有努力的曾经。