微信第三方登陆接口

 第一步：获取AppID AppSecret(不作解释，本身去微信公众平台申请)

 

第二步：生成扫描二维码，获取code

https://open.weixin.qq.com/connect/qrconnect?appid=AppID&redirect_uri=http://www.baidu.com&response_type=code&scope=snsapi_login&state=2014#wechat_redirect

第三步：经过code获取access_token
https://api.weixin.qq.com/sns/oauth2/access_token?appid=AppID&secret=AppSecret&code=00294221aeb06261d5966&grant_type=authorization_code

第四步：因接口频率有次数限制，若是须要，刷新access_token

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=AppID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

    第五步：经过access_token和openid获取用户的基础信息，包括头像、昵称、性别、地区

https://api.weixin.qq.com/sns/userinfo?access_token=bezXEiiBSKSxW0eoblIewFNHqAG-PyW9OqI_L81E4ZCi2cFpfoJTyQc0xKlPPCtqK1kLJfiRbVrpoOVLw7fjpqh52bn7C68SHa2HSgYsVPXZPvJvtayDa57-_7TeHYw&openid=o39YsbmuV_bIPGpj1MTe

这是接口在线调试工具：

http://mp.weixin.qq.com/debug/
这是错误码说明文档：

http://mp.weixin.qq.com/wiki/17/fa4e1434e57290788bde25603fa2fcbd.html 

另外须要特别注意，若是开发者有在多个公众号，或在公众号、移动应用之间统一用户账号的需求，须要前往微信开放平台（open.weixin.qq.com）绑定公众号后，才可利用UnionID机制来知足上述需求，文档：
http://mp.weixin.qq.com/wiki/14/bb5031008f1494a59c6f71fa0f319c66.html

 

微信网页第三方登陆原理

微信开放平台和公众平台的区别

1.公众平台面向的时普通的用户，好比自媒体和媒体，企业官方微信公众帐号运营人员使用，固然你所在的团队或者公司有实力去开发一些内容，也能够调用公众平台里面的接口，好比自定义菜单，自动回复，查询功能。目前大多数微信经过认证以后，都在作这个事情。

mp.weixin.qq.com

2.开放平台面向的开发者和第三方独立软件开发商。我以为开发平台最大的开放就是微信登陆。当年腾讯没有花大力气去作统一登陆这个事情，致使目前各个网站都要弄一套登陆机制。好在他们如今认清了局势。开发者或软件开发商，经过微信开放提供的平台和接口，能够开发适合企业的电子商务网站，扫描二维码进去一个游戏界面，而后去购买商品等。固然后续开放平台要开放支付接口，那么相似口袋通这种软件开发厂商，就能够为大型，中小企业提供微信小店这种服务和软件了。

open.weixin.qq.com

 

公众平台就是服务号订阅号的管理开发后台。

开发平台说得通俗一点就是实现手机里边安装软件的内容一键分享朋友圈；

下面的第三方登录就是依托于开放平台（open.weixin.qq.com）的功能

 

准备工做

网站应用微信登陆是基于OAuth2.0协议标准构建的微信OAuth2.0受权登陆系统。

在进行微信OAuth2.在进行微信OAuth2.0受权登陆接入以前，在微信开放平台注册开发者账号，并拥有一个已审核经过的网站应用，并得到相应的AppID和AppSecret，申请微信登陆且经过审核后，可开始接入流程。

受权流程说明

微信OAuth2.0受权登陆让微信用户使用微信身份安全登陆第三方应用或网站，在微信用户受权登陆已接入微信OAuth2.0的第三方应用后，第三方能够获取到用户的接口调用凭证（access_token），经过access_token能够进行微信开放平台受权关系接口调用，从而可实现获取微信用户基本开放信息和帮助用户实现基础开放功能等。

微信OAuth2.0受权登陆目前支持authorization_code模式，适用于拥有server端的应用受权。该模式总体流程为：

　　1. 第三方发起微信受权登陆请求，微信用户容许受权第三方应用后，微信会拉起应用或重定向到第三方网站，而且带上受权临时票据code参数；

　　2. 经过code参数加上AppID和AppSecret等，经过API换取access_token；

　　3. 经过access_token进行接口调用，获取用户基本数据资源或帮助用户实现基本操做。

获取access_token时序图：

第一步：请求CODE

第三方使用网站应用受权登陆前请注意已获取相应网页受权做用域（scope=snsapi_login），则能够经过在PC端打开如下连接：
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

若提示“该连接没法访问”，请检查参数是否填写错误，如redirect_uri的域名与审核时填写的受权域名不一致或scope不为snsapi_login。

参数说明

参数	是否必须	说明
appid	是	应用惟一标识
redirect_uri	是	重定向地址，须要进行UrlEncode
response_type	是	填code
scope	是	应用受权做用域，拥有多个做用域用逗号（,）分隔，网页应用目前仅填写snsapi_login便可
state	否	用于保持请求和回调的状态，受权请求后原样带回给第三方。该参数可用于防止csrf攻击（跨站请求伪造攻击），建议第三方带上该参数，可设置为简单的随机数加session进行校验

返回说明

用户容许受权后，将会重定向到redirect_uri的网址上，而且带上code和state参数

redirect_uri?code=CODE&state=STATE


若用户禁止受权，则重定向后不会带上code参数，仅会带上state参数

redirect_uri?state=STATE


请求示例

登陆一号店网站应用

https://passport.yhd.com/wechat/login.do

打开后，一号店会生成state参数，跳转到
https://open.weixin.qq.com/connect/qrconnect?appid=wxbdc5610cc59c1631&redirect_uri=https%3A%2F%2Fpassport.yhd.com%2Fwechat%2Fcallback.do&response_type=code&scope=snsapi_login&state=3d6be0a4035d839573b04816624a415e#wechat_redirect

微信用户使用微信扫描二维码而且确认登陆后，PC端会跳转到

https://passport.yhd.com/wechat/callback.do?code=CODE&state=3d6be0a4035d839573b04816624a415e

为了知足网站更定制化的需求，咱们还提供了第二种获取code的方式，支持网站将微信登陆二维码内嵌到本身页面中，用户使用微信扫码受权后经过JS将code返回给网站。

JS微信登陆主要用途：网站但愿用户在网站内就能完成登陆，无需跳转到微信域下登陆后再返回，提高微信登陆的流畅性与成功率。 网站内嵌二维码微信登陆JS实现办法：

步骤1：在页面中先引入以下JS文件（支持https）：

<script src="http://res.wx.qq.com/connect/zh_CN/htmledition/js/wxLogin.js"></script>

步骤2：在须要使用微信登陆的地方实例如下JS对象：

                          var obj = new WxLogin({

                              id:"login_container", 

                              appid: "", 

                              scope: "", 

                              redirect_uri: "",

                              state: "",

                              style: "",

                              href: ""

                            });

参数说明

参数	是否必须	说明
id	是	第三方页面显示二维码的容器id
appid	是	应用惟一标识，在微信开放平台提交应用审核经过后得到
scope	是	应用受权做用域，拥有多个做用域用逗号（,）分隔，网页应用目前仅填写snsapi_login便可
redirect_uri	是	重定向地址，须要进行UrlEncode
state	否	用于保持请求和回调的状态，受权请求后原样带回给第三方。该参数可用于防止csrf攻击（跨站请求伪造攻击），建议第三方带上该参数，可设置为简单的随机数加session进行校验
style	否	提供"black"、"white"可选，默认为黑色文字描述。详见文档底部FAQ
href	否	自定义样式连接，第三方可根据实际需求覆盖默认样式。详见文档底部FAQ

 

第二步：经过code获取access_token

经过code获取access_token

https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

参数说明

参数	是否必须	说明
appid	是	应用惟一标识，在微信开放平台提交应用审核经过后得到
secret	是	应用密钥AppSecret，在微信开放平台提交应用审核经过后得到
code	是	填写第一步获取的code参数
grant_type	是	填authorization_code

返回说明

正确的返回：

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID", 
"scope":"SCOPE","unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"}

 

参数	说明
access_token	接口调用凭证
expires_in	access_token接口调用凭证超时时间，单位（秒）
refresh_token	用户刷新access_token
openid	受权用户惟一标识
scope	用户受权的做用域，使用逗号（,）分隔
unionid	只有在用户将公众号绑定到微信开放平台账号后，才会出现该字段。

错误返回样例：

{"errcode":40029,"errmsg":"invalid code"}

刷新access_token有效期

access_token是调用受权关系接口的调用凭证，因为access_token有效期（目前为2个小时）较短，当access_token超时后，可使用refresh_token进行刷新，access_token刷新结果有两种：

1. 1. 若access_token已超时，那么进行refresh_token会获取一个新的access_token，新的超时时间；

2. 2. 若access_token未超时，那么进行refresh_token不会改变access_token，但超时时间会刷新，至关于续期access_token。

refresh_token拥有较长的有效期（30天），当refresh_token失效的后，须要用户从新受权。

请求方法

获取第一步的code后，请求如下连接进行refresh_token：

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

参数说明

参数	是否必须	说明
appid	是	应用惟一标识
grant_type	是	填refresh_token
refresh_token	是	填写经过access_token获取到的refresh_token参数

返回说明

正确的返回：

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN", 
"openid":"OPENID", 
"scope":"SCOPE" 
}

参数	说明
access_token	接口调用凭证
expires_in	access_token接口调用凭证超时时间，单位（秒）
refresh_token	用户刷新access_token
openid	受权用户惟一标识
scope	用户受权的做用域，使用逗号（,）分隔

 

错误返回样例：

{"errcode":40030,"errmsg":"invalid refresh_token"}

注意：

一、Appsecret 是应用接口使用密钥，泄漏后将可能致使应用数据泄漏、应用的用户数据泄漏等高风险后果；存储在客户端，极有可能被恶意窃取（如反编译获取Appsecret）；

二、access_token 为用户受权第三方应用发起接口调用的凭证（至关于用户登陆态），存储在客户端，可能出现恶意获取access_token 后致使的用户数据泄漏、用户微信相关接口功能被恶意发起等行为；

三、refresh_token 为用户受权第三方应用的长效凭证，仅用于刷新access_token，但泄漏后至关于access_token 泄漏，风险同上。

 

建议将secret、用户数据（如access_token）放在App云端服务器，由云端中转接口调用请求。

 

第三步：经过access_token调用接口

获取access_token后，进行接口调用，有如下前提：

1. 1. access_token有效且未超时；

2. 2. 微信用户已受权给第三方应用账号相应接口做用域（scope）。

 

对于接口做用域（scope），能调用的接口有如下：

受权做用域（scope）	接口	接口说明
snsapi_base	/sns/oauth2/access_token	经过code换取access_token、refresh_token和已受权scope
	/sns/oauth2/refresh_token	刷新或续期access_token使用
	/sns/auth	检查access_token有效性
snsapi_userinfo	/sns/userinfo	获取用户我的信息

其中snsapi_base属于基础接口，若应用已拥有其它scope权限，则默认拥有snsapi_base的权限。使用snsapi_base可让移动端网页受权绕过跳转受权登陆页请求用户受权的动做，直接跳转第三方网页带上受权临时票据（code），但会使得用户已受权做用域（scope）仅为snsapi_base，从而致使没法获取到须要用户受权才容许得到的数据和基础功能。

接口调用方法可查阅《微信受权关系接口调用指南》

F.A.Q

1. 什么是受权临时票据（code）？

答：第三方经过code进行获取access_token的时候须要用到，code的超时时间为10分钟，一个code只能成功换取一次access_token即失效。code的临时性和一次保障了微信受权登陆的安全性。第三方可经过使用https和state参数，进一步增强自身受权登陆的安全性。

 

2. 什么是受权做用域（scope）？

答：受权做用域（scope）表明用户受权给第三方的接口权限，第三方应用须要向微信开放平台申请使用相应scope的权限后，使用文档所述方式让用户进行受权，通过用户受权，获取到相应access_token后方可对接口进行调用。

3. 网站内嵌二维码微信登陆JS代码中style字段做用？

答：第三方页面颜色风格可能为浅色调或者深色调，若第三方页面为浅色背景，style字段应提供"black"值（或者不提供，black为默认值），则对应的微信登陆文字样式为黑色。相关效果以下：

若提供"white"值，则对应的文字描述将显示为白色，适合深色背景。相关效果以下：

4.网站内嵌二维码微信登陆JS代码中href字段做用？

答：若是第三方以为微信团队提供的默认样式与本身的页面样式不匹配，能够本身提供样式文件来覆盖默认样式。举个例子，如第三方以为默认二维码过大，能够提供相关css样式文件，并把连接地址填入href字段

.impowerBox .qrcode {width: 200px;}
.impowerBox .title {display: none;}
.impowerBox .info {width: 200px;}
.status_icon {display：none}
.impowerBox .status {text-align: center;} 

 

相关效果以下：

经过code获取access_token

接口说明

经过code获取access_token的接口。

请求说明

http请求方式: GET

https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

参数说明

参数	是否必须	说明
appid	是	应用惟一标识，在微信开放平台提交应用审核经过后得到
secret	是	应用密钥AppSecret，在微信开放平台提交应用审核经过后得到
code	是	填写第一步获取的code参数
grant_type	是	填authorization_code

返回说明

正确的返回：

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID", 
"scope":"SCOPE" 
}

参数	说明
access_token	接口调用凭证
expires_in	access_token接口调用凭证超时时间，单位（秒）
refresh_token	用户刷新access_token
openid	受权用户惟一标识
scope	用户受权的做用域，使用逗号（,）分隔

错误返回样例：

{
"errcode":40029,"errmsg":"invalid code"
}

刷新或续期access_token使用

接口说明

access_token是调用受权关系接口的调用凭证，因为access_token有效期（目前为2个小时）较短，当access_token超时后，可使用refresh_token进行刷新，access_token刷新结果有两种：

1. 1. 若access_token已超时，那么进行refresh_token会获取一个新的access_token，新的超时时间；

2. 2.若access_token未超时，那么进行refresh_token不会改变access_token，但超时时间会刷新，至关于续期access_token。

refresh_token拥有较长的有效期（30天），当refresh_token失效的后，须要用户从新受权。

请求方法

使用/sns/oauth2/access_token接口获取到的refresh_token进行如下接口调用：

http请求方式: GET

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

参数说明

参数	是否必须	说明
appid	是	应用惟一标识
grant_type	是	填refresh_token
refresh_token	是	填写经过access_token获取到的refresh_token参数

返回说明

正确的返回：

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN", 
"openid":"OPENID", 
"scope":"SCOPE" 
}

参数	说明
access_token	接口调用凭证
expires_in	access_token接口调用凭证超时时间，单位（秒）
refresh_token	用户刷新access_token
openid	受权用户惟一标识
scope	用户受权的做用域，使用逗号（,）分隔

错误返回样例：

{
"errcode":40030,"errmsg":"invalid refresh_token"
}

接口说明

检验受权凭证（access_token）是否有效

请求说明

http请求方式: GET

https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID

参数说明

参数	是否必须	说明
access_token	是	调用接口凭证
openid	是	普通用户标识，对该公众账号惟一

返回说明

正确的Json返回结果：

{ 
"errcode":0,"errmsg":"ok"
}

错误的Json返回示例:

{ 
"errcode":40003,"errmsg":"invalid openid"
}

获取用户我的信息（UnionID机制）

接口说明

此接口用于获取用户我的信息。开发者可经过OpenID来获取用户基本信息。特别须要注意的是，若是开发者拥有多个移动应用、网站应用和公众账号，

可经过获取用户基本信息中的unionid来区分用户的惟一性，由于只要是同一个微信开放平台账号下的移动应用、网站应用和公众账号，用户的unionid是惟一的。换句话说，同一用户，对同一个微信开放平台下的不一样应用，unionid是相同的。

请求说明

http请求方式: GET

https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID

参数说明

参数	是否必须	说明
access_token	是	调用凭证
openid	是	普通用户的标识，对当前开发者账号惟一

返回说明

正确的Json返回结果：

{ 
"openid":"OPENID",
"nickname":"NICKNAME",
"sex":1,
"province":"PROVINCE",
"city":"CITY",
"country":"COUNTRY",
"headimgurl": "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/0",
"privilege":[
"PRIVILEGE1", 
"PRIVILEGE2"
],
"unionid": " o6_bmasdasdsad6_2sgVt7hMZOPfL"

}

参数	说明
openid	普通用户的标识，对当前开发者账号惟一
nickname	普通用户昵称
sex	普通用户性别，1为男性，2为女性
province	普通用户我的资料填写的省份
city	普通用户我的资料填写的城市
country	国家，如中国为CN
headimgurl	用户头像，最后一个数值表明正方形头像大小（有0、4六、6四、9六、132数值可选，0表明640*640正方形头像），用户没有头像时该项为空
privilege	用户特权信息，json数组，如微信沃卡用户为（chinaunicom）
unionid	用户统一标识。针对一个微信开放平台账号下的应用，同一用户的unionid是惟一的。

错误的Json返回示例:

{ 
"errcode":40003,"errmsg":"invalid openid"
}

调用频率限制

接口名	频率限制
经过code换取access_token	1万/分钟
刷新access_token	5万/分钟
获取用户基本信息	5万/分钟