微信小程序:授权登录 + 基于token的身份验证详解 | 您所在的位置:网站首页 › 中国移动请重新获取token › 微信小程序:授权登录 + 基于token的身份验证详解 |
微信小程序开发很重要的一步就是微信授权登录与服务器用户信息保存,很多同学并不了解流程,下面我为大家讲解一下最简单的登录流程。微信小程序授权、服务器保存信息到数据库 通过 wx.login() 获取到用户登录态之后,需要维护登录态。开发者要注意不应该直接把 session_key、openid 等字段作为用户的标识或者 session 的标识,而应该自己派发一个 session 登录状态 (请参考登录时序图)。对于开发者自己生成的 session,应该保证其安全性且不应该设置较长的过期时间。session 派发到小程序客户端之后,可将其存储在 storage ,用于后续通信使用。 微信小程序授权登录与用户信息保存流程![]() 图里其实说的很清楚了,清理下流程: 1.前端调用wx.login()获取code值 2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加密数据,传递给后端 3.服务器通过code请求api换回session_key和openid 4.服务器通过前端给的rawData 加获取的session_key使用sha1加密,计算出signature1 5.比对前端传的signature和自己算出来的signature1是否一致(防止数据不一致) 6.用AES算法解密encryptedData里的敏感数据 7.拿着敏感数据后做自己的逻辑 8.通知前端登陆成功 这里只是想拿到用户的openid,则直接1,3就可以做到了。 1 第一步: 通过wx.login(微信前端--小程序)接口获取code,将code传到后台 注意: code的来源:是用户打开小程序的时候,随机生成的,是腾讯生成的,每个code只能使用一次,因此,理论上这个code是安全的 ![]() 2 第二步: 后台通过code访问微信(腾讯)接口,微信(腾讯)接口返回当前登录的信息:session_key及openid。 返回的openid是每个用户唯一的,通过这个 可以匹配 微信(腾讯)的用户 跟 我们的用户,就是我们后台通过openid来判断这个人是谁, UserController.java 微信小程序登录 ![]() 其中:就是下面的第三步 //调用service.weChatLogin(model) WeChatLoginResult loginResult = service.weChatLogin(model); 3 第三步: 后台检查openid是否存在, 去UserService.java ![]() 去数据库中检查openid是否存在: UserAccountMapper.java ![]() 4 第四步: 下发token ![]() 其中生成token的步骤:BaseController.java 利用JWT框架生成token ![]() 至此,再理一下上面的步骤: 微信小程序通过访问wx.login获得一个code,返回给后台后台拿着这个code,调用腾讯的接口,获取到openid、seesion-key等信息,openid是用户唯一的后台拿着openid去数据库中检查,该用户是否是第一次登陆。如果是第一次登陆,那么就新建一个用户--UserAcount;如果不是第一次登陆,就修改该用户的最后登录时间不管是不是第一次登录,都有了一个用户然后根据用户的信息利用JWT生成token,下发给微信小程序5 第五步 微信小程序收到token后,存起来 6 第六步 微信小程序请求后台 微信小程序把token放在请求头中 7 第七步 先介绍一个注解: 代码语言:javascript复制Authorize说明:如果有这个注解,就需要验证token ![]() 用拦截器,验证token ![]() 流程: 1、从http请求头中取出token 代码语言:javascript复制String token = httpServletRequest.getHeader("authorization");2、如果没有token,抛出异常,请用户登录。如果有token,利用JWT从token中取出userid,添加到request参数 3、根据userid去后台数据库中查询用户是否存在,如果不存在,抛出异常:用户不存在,请重新登录 代码语言:javascript复制User user = userService.getUserById(userId);这个方法: ![]() 4、如果用户存在,再利用JWT从token中取出seesion-key,添加到request参数 Stringsession_key=JWT.decode(token).getClaim("session_key").as(String.class); 拦截器介绍一下: preHandle:在业务处理器处理请求之前被调用。预处理,可以进行编码、安全控制、权限校验等处理;postHandle:在业务处理器处理请求执行完成后,生成视图之前执行。后处理(调用了Service并返回ModelAndView,但未进行页面渲染),有机会修改ModelAndView;afterCompletion:在DispatcherServlet完全处理完请求后被调用,可用于清理资源等。返回处理(已经渲染了页面);8 第八步: request里面有userid,后台就可以识别是对哪个用户做处理 总结 微信小程序授权登录和信息保存,看起来是有点麻烦 ,但是这个流程是很清晰的 ,大家只要理解了逻辑控制流程 ,就能很好的完成开发。 |
CopyRight 2018-2019 实验室设备网 版权所有 |