小程序登录逻辑

小程序登录逻辑思考

标签(空格分隔): 未分类


由于小程序不支持cookie,如何才能记住状态?

  1. 直接通过传递openidsession_key,官方是不建议这么做的,存在安全隐患,官方建议加密openidsession_key生成一个类似token的东西,前端缓存这货,每次通过他来鉴别状态。
  2. 如何做?
    1. 服务器获取openidsession_key,并签名生成token
    2. 服务器将这个token缓存进redis
      1. 如何缓存redis
        redis相关交互

      2. token过期刷新redis

    3. token发送给前端,每次带着token认证
  3. 关于redis
    1. connect-redis Redis session store for Connect
    2. 遇到的一个愚蠢问题,redies连接后就会触发ready,所以直接set就好了
    app.get('/test', function (req, res, next) {
        -  client.on("ready",function(){
        -    console.log("ready成功")
        -  })
        +  client.set('key', 'value')
        })
    

最后,关于整体逻辑,伪代码


    if(token){
        if(verify(token)){
            success
        }
        else{  //token过期
            setToken
            saveReadis(Token)
            res.send(Tokken)
        }
    }
    else{
        setToken
        saveRedies(Token)
        res.send(Token)
    }

整体代码


app.get('/onLogin',function(req,res,next){
  console.log("onLogin 接口访问成功")
  // console.log("req code",req)
  let JSCODE=req.query.code
  let hasToken=req.query.token

  let wechatUrl="https://api.weixin.qq.com/sns/jscode2session?appid="+appid+"&secret="+secret+"&js_code="+JSCODE+"&grant_type=authorization_code"
  let grant_type='authorization_code'
  // console.log(JSCODE)
  request(wechatUrl,(err,response,body)=>{
    // console.log(response)
    let data=JSON.parse(body)
    console.log(data)
    res.set({
      "Access-Control-Allow-Origin": "*"
      ,"Access-Control-Allow-Methods": "POST,GET"
      ,"Access-Control-Allow-Credentials": "true"
    });
    // res.json(data)
    // 存进redis  openid session_key

    // 如果没有带token参数,生成token
    //
    // console.log("hasToken",hasToken)
    if(hasToken){
      console.log("hasToken",hasToken)
      jwt.verify(hasToken, 'secrect', function(err, decoded) {
        console.log("decoded",decoded) // bar
        if(err){
          //  过期
          console.log("token过期")
          let token=jwt.sign({
              name: data.openid,
              data: data
          }, "secrect", {
                expiresIn: 60 * 1000 *2
          })


// 重新再redis中设置
          client.set(data.openid,token,function(err,replies){
            if(err){
                throw(err)
              }
              else{
                console.log("replies",replies)

                res.json({
                  token:token,
                  session:data.session_key
                })
              }
            })
        }
        else{
          console.log("查找成功")
          res.json({
            token:hasToken,
            session:data.session_key

          })
        }
        //  验证登录状态
        // let id=decoded.openid
        // client.on("connect",function(){
        //   client.get("id",function(err,value){
        //     //  token过期或者其他问题
        //     if(err){
        //       // throw(err)
        //       let token=jwt.sign({
        //         name:data.openid,
        //         data:data
        //       })
        //       client.set("openid")

        //     }
        //     else{
        //       console.log("已经登录")
        //     }
        //   })
        // })
      });

    }
    //token为空第一次登录,将token存入
    else{
      console.log("未携带token")
      let token=jwt.sign({
            name: data.openid,
            data: data
        }, "secrect", {
              expiresIn: 60 * 1000 *2
        })

      // 未执行

      client.set(data.openid,token,function(err,replies){
          if(err){
            throw(err)
          }
          else{
            console.log("replies",replies)

            res.json({
              token:token,
              session:data.session_key
            })
          }
      })
      // client.on("connect",function(){
      //   console.log("connect success")
      //   client.set("test",token,redis.print)
      //   res.json({
      //     token:token
      //   })
      // })
    }
    // res.json({
    //     result: 'ok',
    //     token: token
    // })
  })
})

参考资料

token相关知识
jsonwebToken
JWTs实现细节

相关思考:如果截获到tokens,也可以访问,如何避免?

你可能感兴趣的:(小程序登录逻辑)