支付宝生活号获取uid踩坑实践

本文是向大家介绍支付宝生活号H5应用开发过程中获取用户信息的常见问题以及解决方案。

一、常见误区

1、生活号扩展区配置的活动地址跟生活号设置的授权回调域名有关系吗？

答案：没有，扩展器配置的地址可以是任意地址。跟生活号设置的授权回调地址没有关系。

2、生活号内设置的授权回调地址是做什么用的？必须要设置吗？

答案：授权回调地址是为了获取用户在支付宝域内的authCode用的。通过authCode和对用的公私钥可以解密获取用户在支付宝的uid。

回调地址是否设置，取决于是否要使用当前的生活号执行获取uid操作，非必填。

3、每个生活号可以设置几个授权回调地址？

答案：每个生活号只能设置一个回调地址。

4、授权回调地址、生活号和公私钥的对应关系如何？

答案：每个生活号对应一个appid，每个appid对应一套公私钥。同时每个生活号对应一个授权回调地址，必须在当前地址下才可以获取到当前生活号的authCode，当前生活号的authCode必须使用当前生活号的公私钥解密才能获取到用户的支付宝uid.

5、是否每个生活号都必须设置授权回调地址？可否多个生活号公用一个生活号的授权回调地址和公私钥？

答案：不用，每个生活号都设置回调地址。可以多个生活号公用一个生活号的回调地址和公私钥。

这个地方有点绕，但是大家仔细想一下就明白了，首先第一个问题已经说了，生活号扩展区配置的地址可以是任意地址。如果配置的地址在其他的生活号中已经设置过授权回调地址了，并且获取authCode的appid和解密的公私钥都已经有了，那么它是可以直接获取到用户的支付宝uid的，配不配置授权回调地址无所谓。

所以可以多个生活号公用一个生活号设置的回调地址和公私钥。

二、多生活号扩展区配置域名发散和域名收敛

前面已经讲过了，扩展区支持授权回调地址单独配置也支持配置一个，多个生活号公用。它们的优劣势和适用场景都是什么？

域名发散

域名发散和域名收敛的核心在于前端服务容器的域名状态，假如前端服务存在多个容器内，域名也都不一样，为了适配每个服务都可以顺利的拿到支付宝的uid，我们就要给每个域名配置回调地址。

例如：

在初期，前端存在多个服务，扶摇、云凤蝶、闪蝶。当存在多个域名的时候，必须有对应个数的生活号为对应的域名设置授权回调地址。

回调地址多优势在于可以单个管理，另外如果某个域名被封禁，不会影响其他域名的活动。

缺点在于，域名和生活号的对应关系不易维护，特别是当配置人员对上述5个问题理解不清，会出现一个域名在多个生活号配置的情况，管理混乱，极易出错。

域名收敛

那么前端服务在多域名的情况下有没有办法做到域名收敛呢？肯定是有的。

创建一个空白页面，单独部署。该页面的功能就是获取uid，然后获取完之后通过重定向的方式再跳转到最终不同域名的活动页面把uid当参数传递过去。

//示例 common.js  获取重定向地址（即最终活动地址）

export const getUrlParam = (name) => {

  const reg = new RegExp(`(^|&)${name}=([^&]*)(&|$)`);

  const value = window.location.search.slice(1).match(reg);

  if (value !== null) return decodeURI(value[2]);

  return null;

};

export const redirect_uri = getUrlParam('redirect_uri') ;

// 示例 index.js 获取uid，并把uid传递给活动地址

import { redirect_uri } from './common.js';

AlipayJSBridge.call(

      'getAuthCode', {

        scopeNicks: ['auth_base'], // 主动授权：auth_user，静默授权：auth_base

        appId: config.appid, // 开放平台id，需要去开放平台配置域名白名单，才能使用，域名白名单不支持通配符

        showErrorTip: true, // 是否显示出错弹框，默认是true

      },

      function(result) {

        if (result.hasOwnProperty('authcode')) {

          _self.turnPage(result.authcode);

        } else {

          // 获取authCode失败逻辑

        }

      },

);

_self.turnPage = (authCode) => {

  // 方法一，后端执行跳转逻辑

  return `${envPath().env_path}/auth/redirect?appId=${config.appid}&authCode=${authCode}&redirect_uri=${redirect_uri}`

  // 方法二，前端执行跳转逻辑

  SvRequest(`/auth/getAlipayOpenId`, 'get', { appId:`${config.appid}`, authCode: `${authCode}` }).then((res) => {

      if (res.data.code === 100000) {

        window.location.replace(redirect_uri)

      }

    })

}

流程示意图

注意：

1、 获取authCode之后，ios返回的是authcode,安卓返回的是authcode和authCode，所以取值的时候最好用全小写 authcode，否则会出现机型兼容问题。

2、获取完uid之后，要使用replace方法跳转到活动页面否返回会出现空白页面，也可由后端直接跳转。

域名收敛方案的好处是把获取uid和真实活动完全分开，可以统一处理。坏处是如果获取uid服务挂掉域名被封禁，所有活动就全部不能访问。

获取方案uid优化

支付宝uid相比微信openId的好处是，同一用户在所有支付宝生活号内获取到的uid是一致的，获取到uid之后，使用localStorage方式将域名缓存，如果有uid直接使用，没有通过authCode换取uid，然后再缓存。通过这种方式可以大大减少uid获取次数，命中缓存的情况下可以减少至少500ms的等待时长。