小程序授权登录流程详解

在做小程序授权登录时, 不同的人有不同的实现细节, 导致有各种不一致的描述, 与他人进行沟通讨论的时候, 思想很难保持同步。

微信官网登录时序图示例

小程序授权登录流程详解_第1张图片

wx.login()会刷新 session_key 吗

小程序授权登录流程详解_第2张图片

下面是我连续3次测试的结果, 可以看出三个不同的 code 得到相同 session_key:

| code | session_key |
| - | - | 
| 061AlTTl1NN1Xk0ZmcUl1iZ0Ul1AlTTi | eTVWziFnhu2vG+iVrjDOqA==
| 071Rl0SD0Dd7Sc2hkkOD0asORD0Rl0SW | eTVWziFnhu2vG+iVrjDOqA==
| 071wl53j2qtQCH0SfKZi2SVN2j2wl53d | eTVWziFnhu2vG+iVrjDOqA==

我决定等待10分钟之后再去尝试:

code_xxx LMiKHyNLaGHidXqSsg4Ung==

果然 session_key 发生了变化,这和官网文档说明符合:

原文:微信不会把session_key的有效期告知开发者。我们会根据用户使用小程序的行为对session_key进行续期。用户越频繁使用小程序,session_key有效期越长。

数据签名校验?

小程序授权登录流程详解_第3张图片

签名算法 signature = sha1( rawData + session_key ) ,意味着两个参数都相同,或者两个参数都不同,其签名才可能一致。所有我一个大胆的尝试,如果我更改我的性别或者昵称,那么前端得到的rawData 也会发生变更,session_key 也会发生变更,才能通过签名验证。可惜的是我更改了我的用户信息之后,通过调试发现 rawData 并没有立即发生变更。

我个人当前的做法

每次涉及到解密用户信息时,前端都会重新回去授权 code ,服务端使用 code 获取 session_key,然后再解密。
虽然微信小程序官网有说明 code 的有效期为5分钟,经过测试发现不止5分钟(我发现10分钟也没过期)。但是为了避免 code 过期,还是要注意相关的逻辑。

总结

希望上面的几个比较重要的点能够帮助你,同时希望你留言一起讨论大家的实现区别,谢谢您的阅读!

你可能感兴趣的:(小程序授权登录流程详解)