微信公眾平臺開發——微信授權登入(OAuth2.0)
1、OAuth2.0簡介
OAuth(開放授權)是一個開放標準,允許使用者讓第三方應用訪問該使用者在某一網站上儲存的私密的資源(如照片,視訊,聯絡人列表),而無需將使用者名稱和密碼提供給第三方應用。
允許使用者提供一個令牌,而不是使用者名稱和密碼來訪問他們存放在特定服務提供者的資料。每一個令牌授權一個特定的網站(例如,視訊編輯網站)在特定的時段(例如,接下來的2小時內)內訪問特定的資源(例如僅僅是某一相簿中的視訊)。這樣,OAuth允許使用者授權第三方網站訪問他們儲存在另外的服務提供者上的資訊,而不需要分享他們的訪問許可或他們資料的所有內容。
我們這裡主要模擬在微信公眾號中使用OAuth2.0進行授權,獲取使用者的基本資訊的過程。詳細的開發文件可檢視微信的官方文件。
微信公眾平臺開發者文件:
2、獲取測試公眾賬號及其相關配置
1)、公眾測試賬號獲取
登入完即可獲取到一個測試公眾賬號的資訊。主要有appId和appsecret兩個引數,這將唯一標示一個公眾號,並且需要將他們作為引數獲取使用者的資訊。
2)、關注公眾號
使用者只有關注了這個公眾號了,才能通過開啟有公眾號資訊的連結去授權第三方登入,並獲取使用者資訊的操作。故我們還需要用我們的微信關注微訊號,操作如下:
還是剛剛那個登入成功後跳轉的頁面,我們可以看到,該頁面有一個二維碼,我們可以通過掃描該二維碼進行關注,關注成功在右邊的“使用者列表”會多一個使用者的資訊。如下圖所示:
3)、配置回撥函式
我們在微信客戶端訪問第三方網頁(即我們自己的網頁)的時候,我們可以通過微信網頁授權機制,我們不僅要有前面獲取到的appid和appsecret還需要有當使用者授權之後,回撥的域名設定,即使用者授權後,頁面會跳轉到哪裡。具體的配置如下:
還是在剛剛的頁面,有一個“網頁授權獲取使用者基本資訊”,點選後面的修改
填寫回調的域名:
如果你的網址沒有被列入過黑名單,就會在頂部出現
然後,域名配置就成功了!
注意:
1、這裡填寫的是域名(是一個字串),而不是URL,因此請勿加http://等協議頭; 2、授權回撥域名配置規範為全域名,比如需要網頁授權的域名為:www.qq.com,配置以後此域名下面的頁面http://www.qq.com/music.html 、 http://www.qq.com/login.html 都可以進行OAuth2.0鑑權。但http://pay.qq.com 、 http://music.qq.com 、 http://qq.com無法進行OAuth2.0鑑權
到這裡,我們就獲取到我們必須用到的測試資訊了,包括
- 公眾號appID、appsecret的獲取;
- 關注我們測試的公眾號;
- 配置掃碼使用者授權後回撥的域名。
3、微信授權登入並獲取使用者基本資訊
微信授權使用的是OAuth2.0授權的方式。主要有以下簡略步驟:
第一步:使用者同意授權,獲取code
第二步:通過code換取網頁授權access_token
第三步:重新整理access_token(如果需要)
第四步:拉取使用者資訊(需scope為 snsapi_userinfo)
詳細的步驟如下:
1.使用者關注微信公眾賬號。
2.微信公眾賬號提供使用者請求授權頁面URL。
3.使用者點選授權頁面URL,將向伺服器發起請求
4.伺服器詢問使用者是否同意授權給微信公眾賬號(scope為snsapi_base時無此步驟)
5.使用者同意(scope為snsapi_base時無此步驟)
6.伺服器將CODE通過回撥傳給微信公眾賬號
7.微信公眾賬號獲得CODE
8.微信公眾賬號通過CODE向伺服器請求Access Token
9.伺服器返回Access Token和OpenID給微信公眾賬號
10.微信公眾賬號通過Access Token向伺服器請求使用者資訊(scope為snsapi_base時無此步驟)
11.伺服器將使用者資訊回送給微信公眾賬號(scope為snsapi_base時無此步驟)
1)、使用者授權並獲取code
在域名(前面配置的回撥域名)根目錄下,新建一個檔案,命名為oauth.php(名字隨便你取,下面的redirect_uri做相應修改即可)該php實現的功能也很簡單,只是將url上的code引數取出來並打印出來而已,方便我們進行接下來的操作。
Oauth.php中的內容如下:
<?php if (isset($_GET['code'])){ echo $_GET['code']; }else{ echo "NO CODE"; } ?>
這個php的主要目的是當用戶確認授權登入之後,會調轉到redirect_uri這個地址上,並帶上code引數(微信生成),我們為了方便獲取,這裡也可以是一個空白的頁面,下面有其他方法得到url上面的code引數。
請求授權頁面的構造方式:
https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
引數說明
引數 |
必須 |
說明 |
appid |
是 |
公眾號的唯一標識(這個就是我們前面申請的) |
redirect_uri |
是 |
授權後重定向的回撥連結地址(我們前面申請的) |
response_type |
是 |
返回型別,請填寫code |
scope |
是 |
應用授權作用域,snsapi_base (不彈出授權頁面,直接跳轉,只能獲取使用者openid),snsapi_userinfo (彈出授權頁面,可通過openid拿到暱稱、性別、所在地。並且,即使在未關注的情況下,只要使用者授權,也能獲取其資訊) |
state |
否 |
重定向後會帶上state引數,開發者可以填寫a-zA-Z0-9的引數值,最多128位元組,該值會被微信原樣返回,我們可以將其進行比對,防止別人的攻擊。 |
#wechat_redirect |
否 |
直接在微信開啟連結,可以不填此引數。做頁面302重定向時候,必須帶此引數 |
應用授權作用域:由於snsapi_base只能獲取到openid,意義不大,所以我們使用snsapi_userinfo。 回撥地址:填寫為剛才上傳後的oauth.php的檔案地址, state引數:隨便一個數字,這裡填123
尤其注意:由於授權操作安全等級較高,所以在發起授權請求時,微信會對授權連結做正則強匹配校驗,如果連結的引數順序不對,授權頁面將無法正常訪問
構造請求url如下:
https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx4a22b50d7e897f97&redirect_uri=http%3a%2f%2fad.seewo.com%2foauth.php&response_type=code&scope=snsapi_userinfo&state=123#wechat_redirect
這個需要發到微信中,使用微信瀏覽器才能開啟。
點開上面的連結,點選確認登入即可跳轉到剛剛配置的回撥頁面,並獲取了微信傳回的code引數,用於下面的操作。
授權頁面如下:
授權後跳轉的頁面(我們前面配置的redirect_uri):
假如我們沒有在php中打印出了code,這個時候我們可以通過右上角按鈕中的複製連結,得到連結如下:
http://ad.seewo.com/oauth2.php?code=0217a07e9c194dbf539c45c266b2dcfZ&state=123
code說明 :
code作為換取access_token的票據,每次使用者授權帶上的code將不一樣,code只能使用一次,5分鐘未被使用自動過期。
1)、使用code換取access_token
換取網頁授權access_token頁面的構造方式:
https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code |
引數說明
引數 |
是否必須 |
說明 |
appid |
是 |
公眾號的唯一標識 |
secret |
是 |
公眾號的appsecret |
code |
是 |
填寫第一步獲取的code引數 |
grant_type |
是 |
填寫為authorization_code |
code:在這裡填寫為上一步獲得的值。 構造的url如下,在網頁中開啟連結就行:
https://api.weixin.qq.com/sns/oauth2/access_token?appid=wx41cb8dbd827a16e9&secret=d4624c36b6795d1d99dcf0547af5443d&code=00137323023ab55775be09d6d8e75ffA&grant_type=authorization_code
只有獲取code的連結必須是在微信客戶端中點開的,獲取access_token和使用者資訊可以直接在網頁開啟即可。
返回說明
正確時返回的JSON資料包如下:
{ "access_token":"ACCESS_TOKEN", "expires_in":7200, "refresh_token":"REFRESH_TOKEN", "openid":"OPENID", "scope":"SCOPE" }
引數 |
描述 |
access_token |
網頁授權介面呼叫憑證,注意:此access_token與基礎支援的access_token不同 |
expires_in |
access_token介面呼叫憑證超時時間,單位(秒) |
refresh_token |
使用者重新整理access_token |
openid |
使用者唯一標識 |
scope |
使用者授權的作用域,使用逗號(,)分隔 |
錯誤時微信會返回JSON資料包如下(示例為Code無效錯誤):
{"errcode":40029,"errmsg":"invalid code"}
2)、通過access_token、openid獲取使用者資訊
請求方法:
https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID
引數說明
引數 |
描述 |
access_token |
網頁授權介面呼叫憑證,注意:此access_token與基礎支援的access_token不同 |
openid |
使用者的唯一標識 |
構造url如下:
https://api.weixin.qq.com/sns/userinfo?access_token=OezXcEiiBSKSxW0eoylIeABONBTt9gBE6cK3arF_L6aOvwU4ynS5ZxG4r6ZUIJxh7y_ClmPRkYbMeOc_r30LAGB2IEAlCFsQQvfQMJSwHcU6109-6vz603Jho4oZhdns6AOXwoxaWcLujT1RWnC_hQ&openid=oF3PcsnsrMiJzEwalZZbAfWQpxCI
可以在瀏覽器中直接執行這個。
得到的json格式資料如下:
{ "openid":" OPENID", " nickname": NICKNAME, "sex":"1", "province":"PROVINCE" "city":"CITY", "country":"COUNTRY", "headimgurl": "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46", "privilege":[ "PRIVILEGE1" "PRIVILEGE2" ], "unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL" }
引數 |
描述 |
|
openid |
使用者的唯一標識 |
|
nickname |
使用者暱稱 |
|
sex |
使用者的性別,值為1時是男性,值為2時是女性,值為0時是未知 |
|
province |
使用者個人資料填寫的省份 |
|
city |
普通使用者個人資料填寫的城市 |
|
country |
國家,如中國為CN |
|
headimgurl |
使用者頭像,最後一個數值代表正方形頭像大小(有0、46、64、96、132數值可選,0代表640*640正方形頭像),使用者沒有頭像時該項為空。若使用者更換頭像,原有頭像URL將失效。 |
|
privilege |
使用者特權資訊,json 陣列,如微信沃卡使用者為(chinaunicom) |
|
unionid |
只有在使用者將公眾號繫結到微信開放平臺帳號後,才會出現該欄位。詳見:獲取使用者個人資訊(UnionID機制) |
錯誤時微信會返回JSON資料包如下(示例為openid無效):
{"errcode":40003,"errmsg":" invalid openid "}
值得注意的地方:
使用者管理類介面中的“獲取使用者基本資訊介面”,是在使用者和公眾號產生訊息互動或關注後事件推送後,才能根據使用者OpenID來獲取使用者基本資訊。這個介面,包括其他微信介面,都是需要該使用者(即openid)關注了公眾號後,才能呼叫成功的。
網頁授權獲取使用者基本資訊也遵循UnionID機制。即如果開發者有在多個公眾號,或在公眾號、移動應用之間統一使用者帳號的需求,需要前往微信開放平臺(open.weixin.qq.com)繫結公眾號後,才可利用UnionID機制來滿足上述需求。
UnionID機制的作用說明:如果開發者擁有多個移動應用、網站應用和公眾帳號,可通過獲取使用者基本資訊中的unionid來區分使用者的唯一性,因為同一使用者,對同一個微信開放平臺下的不同應用(移動應用、網站應用和公眾帳號),unionid是相同的。
尤其注意:由於公眾號的secret和獲取到的access_token安全級別都非常高,必須只儲存在伺服器,不允許傳給客戶端。後續重新整理access_token、通過access_token獲取使用者資訊等步驟,也必須從伺服器發起。