【微信】第三方登陆接口流程

微信登陆介绍：

微信OAuth2.0受权登陆让微信用户使用微信身份安全登陆第三方应用或网站，在微信用户受权登陆已接入微信OAuth2.0的第三方应用后，第三方能够获取到用户的接口调用凭证（access_token），经过access_token能够进行微信开放平台受权关系接口调用，从而可实现获取微信用户基本开放信息和帮助用户实现基础开放功能等。

准备工做：

在进行微信OAuth2.在进行微信OAuth2.0受权登陆接入以前，在微信开放平台注册开发者账号，并拥有一个已审核经过的网站应用，并得到相应的AppID和AppSecret，申请微信登陆且经过审核后，可开始接入流程。

建立网站应用

在建立网站应用快要完成的时候会设置一个返回域，此域要跟代码的返回地址一致（受权回调域最好写一级域名）。

 

 

提交审核，等待获取到APPID和AppSecret

接入流程示意图：

 

代码操做示例：

流程示意图：

 

第一步：请求CODE

第三方使用网站应用受权登陆前请注意已获取相应网页受权做用域（scope=snsapi_login），则能够经过在PC端打开如下连接：
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

注：若提示“该连接没法访问”，请检查参数是否填写错误，如redirect_uri的域名与审核时填写的受权域名不一致或scope不为snsapi_login。

参数说明

 

返回说明

用户容许受权后，将会重定向到redirect_uri的网址上，而且带上code和state参数

 

若用户禁止受权，则重定向后不会带上code参数，仅会带上state参数

 

第二步：经过code获取access_token

经过code获取access_token：

 

参数说明

 

返回说明

 

 

错误返回样例：{"errcode":40029,"errmsg":"invalid code"}

刷新access_token有效期

access_token是调用受权关系接口的调用凭证，因为access_token有效期（目前为2个小时）较短，当access_token超时后，可使用refresh_token进行刷新，access_token刷新结果有两种：

 

 

refresh_token拥有较长的有效期（30天），当refresh_token失效的后，须要用户从新受权。

请求方法

获取第一步的code后，请求如下连接进行refresh_token：

 

参数说明

 

返回说明

正确的返回：

 

 

 

错误返回样例：{"errcode":40030,"errmsg":"invalid refresh_token"}

注意：

一、Appsecret 是应用接口使用密钥，泄漏后将可能致使应用数据泄漏、应用的用户数据泄漏等高风险后果；存储在客户端，极有可能被恶意窃取（如反编译获取Appsecret）；

二、access_token 为用户受权第三方应用发起接口调用的凭证（至关于用户登陆态），存储在客户端，可能出现恶意获取access_token 后致使的用户数据泄漏、用户微信相关接口功能被恶意发起等行为；

三、refresh_token 为用户受权第三方应用的长效凭证，仅用于刷新access_token，但泄漏后至关于access_token 泄漏，风险同上。

第三步：经过access_token调用接口

获取access_token后，进行接口调用，有如下前提：

 

对于接口做用域（scope），能调用的接口有如下：

附加二维码登陆代码示例：

步骤1：在页面中先引入以下JS文件（支持https）：

步骤2：在须要使用微信登陆的地方实例如下JS对象：

 

注：引入代码前要有占位容器来进行显示

参数说明

参数	是否必须	说明
id	是	第三方页面显示二维码的容器id
appid	是	应用惟一标识，在微信开放平台提交应用审核经过后得到
scope	是	应用受权做用域，拥有多个做用域用逗号（,）分隔，网页应用目前仅填写snsapi_login便可
redirect_uri	是	重定向地址，须要进行UrlEncode
state	否	用于保持请求和回调的状态，受权请求后原样带回给第三方。该参数可用于防止csrf攻击（跨站请求伪造攻击），建议第三方带上该参数，可设置为简单的随机数加session进行校验
style	否	提供"black"、"white"可选，默认为黑色文字描述。详见FAQ
href	否	自定义样式连接，第三方可根据实际需求覆盖默认样式。详见FAQ

 

F.A.Q

1. 什么是受权临时票据（code）？

答：第三方经过code进行获取access_token的时候须要用到，code的超时时间为10分钟，一个code只能成功换取一次access_token即失效。code的临时性和一次保障了微信受权登陆的安全性。第三方可经过使用https和state参数，进一步增强自身受权登陆的安全性。

2. 什么是受权做用域（scope）？

答：受权做用域（scope）表明用户受权给第三方的接口权限，第三方应用须要向微信开放平台申请使用相应scope的权限后，使用文档所述方式让用户进行受权，通过用户受权，获取到相应access_token后方可对接口进行调用。

3. 网站内嵌二维码微信登陆JS代码中style字段做用？

答：第三方页面颜色风格可能为浅色调或者深色调，若第三方页面为浅色背景，style字段应提供"black"值（或者不提供，black为默认值），则对应的微信登陆文字样式为黑色。

4.网站内嵌二维码微信登陆JS代码中href字段做用？

答：若是第三方以为微信团队提供的默认样式与本身的页面样式不匹配，能够本身提供样式文件来覆盖默认样式。