微信公众号开发（十二）OAuth2.0网页授权

OAuth允许用户提供一个令牌，而不是用户名和密码来访问它们存放在特定服务器上的数据，每一个令牌授权一个特定的网站在特定时段内访问特定的资源。

授权过程如下：

 

1、引导用户进入授权页面同意授权，获取code 

2、通过code换取网页授权access_token（与基础支持中的access_token不同） 

3、如果需要，开发者可以刷新网页授权access_token，避免过期 

4、通过网页授权access_token和openid获取用户基本信息（支持UnionID机制） 

1、配置授权回调页面域名

在测试号权限列表中找到OAuth2.0网页授权，然后点击修改，填写自己的域名，注意不能带http://，如果通过，会提示“通过安全检测”的字样。

2、用户授权获取code

接口：https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

 

scope的两种区别：

snsapi_base：不弹出授权页面，直接跳转，只能获取用户openid

snsapi_userinfo：弹出授权页面，可通过openid拿到昵称、性别、所在地。并且，即使在未关注的情况下，只要用户授权，也能获取其信息。

 

redirect_uri：授权后重定向的回调链接地址，请使用urlencode对链接进行处理。

 

尤其注意：由于授权操作安全等级较高，所以在发起授权请求时，微信会对授权链接做正则强匹配校验，如果链接的参数顺序不对，授权页面将无法正常访问。

 

在根目录下新建一个文件夹oauth，并在该文件夹下新建oauth2.php。该文件就是，接口中redirect_uri域名回调页面。

 

具体获取code的方法步骤是：提供用户请求授权页面的URL，也就是以上的接口，用户点击授权页面URL向服务器发起请求，服务器询问用户是否同意（scope为snsapi_base时无此步骤），用户同意（scope为snsapi_base时无此步骤），服务器将code通过回调传给公众账号开发者。

 

这里我们只是简单的输出以下code。

oauth2.php

";
    echo "state:".$_GET["state"];
}else {
    echo "no code";
}

然后在index.php中向用户发送授权URL，如下所示。

index.php

responseMsg();

class wechatCallBackapiTest
{
    public function responseMsg()
    {
        //获取post过来的数据，它一个XML格式的数据
        $postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
        //将数据打印到log.xml
        Utils::logger($postStr);
        if (!empty($postStr)) {
            //将XML数据解析为一个对象
            $postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
            $RX_TYPE = trim($postObj->MsgType);
            //消息类型分离
            switch($RX_TYPE)
            {
                case "text":
                    $result = $this->receiveText($postObj);
                    break;
                default:
                    $result = "";
                    break;
            }
            Utils::logger($result, '公众号');
            echo $result;
        }else {
            echo "";
            exit;
        }
    }

    private function receiveText($object)
    {
        $appid = "wx07fff9c79a410b69";
        $redirect_uri = urlencode("http://weiweiyi.duapp.com/oauth/oauth2.php");

        $keyword = trim($object->Content);
        if(strstr($keyword, "base")){
            $url = "https://open.weixin.qq.com/connect/oauth2/authorize?appid=$appid&redirect_uri=".
                "$redirect_uri&response_type=code&scope=snsapi_base&state=123#wechat_redirect";
            $content = "用户授权snsapi_base实现:单击这里体验OAuth授权";
        }else if (strstr($keyword, "userinfo")){
            $url = "https://open.weixin.qq.com/connect/oauth2/authorize?appid=$appid&redirect_uri=".
                "$redirect_uri&response_type=code&scope=snsapi_userinfo&state=123#wechat_redirect";
            $content = "用户授权snsapi_userInfo实现:单击这里体验OAuth授权";
        }else{
            $content = "";
        }
        $result = $this->transmitText($object, $content);
        return $result;
    }
    /**
     * 回复文本消息
     */
    private function transmitText($object, $content)
    {
        $xmlTpl = "
    
    
    
    
    
";
        $result = sprintf($xmlTpl, $object->FromUserName, $object->ToUserName, time(), $content);
        return $result;
    }
}

 

向公众号分别发送“base”和"baseInfo"，则返回如图所示：

 

点击base链接后，直接重定向到oauth2.php页面，可以看到返回的参数中不仅有code，还返回了url中填写的state字段。

点击userinfo，则先返回如下页面，需要用户点击“确认”后才能重定向到oauth2.php。

 

3、使用code换取access_token

如果网页授权作用域是snsapi_base，则本步骤获取到网页授权access_token的同时，也获取到了openid，snsapi_base式的网页授权流程到此为止。注意这里的access_token和基础接口中的access_token不同。

接口：https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code。

get_token.php

如果是base，授权流程到此结束，返回：

{
    "access_token": "b3e1GZdT1E-sjKzeKRCr9XUE6IQglkBBxrFXdsmZ8DVW4O5t16EXbIxCoob6pGXwA5Z9JubOZnIytGcM5xC20g",
    "expires_in": 7200,
    "refresh_token": "yJkiFmmRVq5Kst6PiZpwGPvJh0bcegccx-KFIZEIwYKRmdiLC5dG8-iMRkjl1Stf8cSrHjDauzZtEGNHlnGckA",
    "openid": "o4WmZ0h-4huBUVQUczx2ezaxIL9c",
    "scope": "snsapi_base"
}

如果是userinfo，返回：

{
    "access_token": "iUIP_RnPmjVICZtmq6fFRcslRD1yJax3IkeT_fXKFlDv5W_9y5JS4Z4QgC1W33Qi2BbQ5pWLWt-6LYT7u1Egvg",
    "expires_in": 7200,
    "refresh_token": "rKwY7NF0BqfSpLVwmVO-htyvlrFWQVRmCdimoaLG2JiHz8wEJZ2H7fcQ5wtJylixBt-dCENgasbaSs8_7M-Kmw",
    "openid": "o4WmZ0h-4huBUVQUczx2ezaxIL9c",
    "scope": "snsapi_userinfo"
}

4、刷新access_token（可选）

由于access_token拥有较短的有效期，当access_token超时后，可以使用refresh_token进行刷新，refresh_token有效期为30天，当refresh_token失效之后，需要用户重新授权。

接口：https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN。

get_refresh_token.php

返回：

{
    "openid": "o4WmZ0h-4huBUVQUczx2ezaxIL9c",
    "access_token": "iUIP_RnPmjVICZtmq6fFRcslRD1yJax3IkeT_fXKFlDv5W_9y5JS4Z4QgC1W33Qi2BbQ5pWLWt-6LYT7u1Egvg",
    "expires_in": 7200,
    "refresh_token": "rKwY7NF0BqfSpLVwmVO-htyvlrFWQVRmCdimoaLG2JiHz8wEJZ2H7fcQ5wtJylixBt-dCENgasbaSs8_7M-Kmw",
    "scope": "snsapi_base,snsapi_userinfo,"
}

5、使用access_token获取用户信息

接口：https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN。

get_userinfo.php

返回：

{
    "openid": "o4WmZ0h-4huBUVQUczx2ezaxIL9c",
    "nickname": "Promise",
    "sex": 1,
    "language": "zh_CN",
    "city": "",
    "province": "",
    "country": "",
    "headimgurl": "http://wx.qlogo.cn/mmopen/vi_32/um6ptBDhpau47ctyJHMakZgyHJsYHzjMfouyWqP6DNxNEPLf2uk6V6TBNnsbanrUcABJiaEa74W8VB7JRk9k0kg/0",
    "privilege": []
}

授权过程到此结束。

下面来个完整版的，新建一个oauth_complete.php文件。

将index.php中重定向url改为：$redirect_uri = urlencode("http://weiweiyi.duapp.com/oauth/oauth_complete.php");

oauth.complete.php

注意：获取的code只能使用一次，超过一次会报40163的错误，这时会获取不到access_token。

如果不是官方微信网页，会弹出以下界面：

其实在这之前已经发送了一次请求，点击“继续访问”实际上相当于第二次访问该页面，所以code也是第二次使用，会报错。

相关博客

微信公众号开发（一）服务器及接口的配置

微信公众号开发（二）基础接口

微信公众号开发（三）获取access_token

微信公众号开发（四）自定义菜单

微信公众号开发（五）个性化菜单

微信公众号开发（六）素材管理

微信公众号开发（七）发送客服消息

微信公众号开发（八）用户管理

微信公众号开发（九）群发消息接口

微信公众号开发（十）模板消息

微信公众号开发（十一）生成带参数二维码

微信公众号开发（十二）OAuth2.0网页授权