網(wǎng)站應(yīng)用微信登錄開發(fā)指南準(zhǔn)備工作網(wǎng)站應(yīng)用微信登錄是基于OAuth2.0協(xié)議標(biāo)準(zhǔn)構(gòu)建的微信OAuth2.0授權(quán)登錄系統(tǒng)。 在進(jìn)行微信OAuth2. 在進(jìn)行微信OAuth2.0授權(quán)登錄接入之前，在微信開放

網(wǎng)站應(yīng)用微信登錄開發(fā)指南

準(zhǔn)備工作

網(wǎng)站應(yīng)用微信登錄是基于OAuth2.0協(xié)議標(biāo)準(zhǔn)構(gòu)建的微信OAuth2.0授權(quán)登錄系統(tǒng)。 在進(jìn)行微信OAuth2. 在進(jìn)行微信OAuth2.0授權(quán)登錄接入之前，在微信開放平臺注冊開發(fā)者帳號，并擁有一個已審核通過的網(wǎng)站應(yīng)用，并獲得相應(yīng)的AppID 和AppSecret ，申請微信登錄且通過審核后，可開始接入流程。

授權(quán)流程說明

微信OAuth2.0授權(quán)登錄讓微信用戶使用微信身份安全登錄第三方應(yīng)用或網(wǎng)站，在微信用戶授權(quán)登錄已接入微信OAuth2.0的第三方應(yīng)用后，第三方可以獲取到用戶的接口調(diào)用憑證（access_token），通過access_token可以進(jìn)行微信開放平臺授權(quán)關(guān)系接口調(diào)用，從而可實(shí)現(xiàn)獲取微信用戶基本開放信息和幫助用戶實(shí)現(xiàn)基礎(chǔ)開放功能等。

微信OAuth2.0授權(quán)登錄目前支持authorization_code模式，適用于擁有server 端的應(yīng)用授權(quán)。該模式整體流程為： 1. 1. 第三方發(fā)起微信授權(quán)登錄請求，微信用戶允許授權(quán)第三方應(yīng)用后，微信會拉起應(yīng)用或重定向到第三方網(wǎng)站，并且?guī)鲜跈?quán)臨時票據(jù)code 參數(shù)；

2. 2. 通過code 參數(shù)加上AppID 和AppSecret 等，通過API 換取access_token；

3. 3. 通過access_token進(jìn)行接口調(diào)用，獲取用戶基本數(shù)據(jù)資源或幫助用戶實(shí)現(xiàn)基本操作。 獲取access_token時序圖：

第一步：請求CODE

第三方使用網(wǎng)站應(yīng)用授權(quán)登錄前請注意已獲取相應(yīng)網(wǎng)頁授權(quán)作用域（scope=snsapi_login），則可以通過在PC 端打開以下鏈接： https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 若提示“該鏈接無法訪問”，請檢查參數(shù)是否填寫錯誤，如redirect_uri的域名與審核時填寫的授權(quán)域名不一致或scope 不為snsapi_login。

參數(shù)說明 是

否

參數(shù)

必

須 說明

appid 是 應(yīng)用唯一標(biāo)識

redirect_uri 是 重定向地址，需要進(jìn)行UrlEncode

是

否參數(shù)

必

須 說明

response_type 是 填code

應(yīng)用授權(quán)作用域，擁有多個作用域用逗號（, ）分隔，網(wǎng)頁應(yīng)用

scope 是

目前僅填寫snsapi_login即可

用于保持請求和回調(diào)的狀態(tài)，授權(quán)請求后原樣帶回給第三方。

state 否 該參數(shù)可用于防止csrf 攻擊（跨站請求偽造攻擊），建議第三方

帶上該參數(shù)，可設(shè)置為簡單的隨機(jī)數(shù)加session 進(jìn)行校驗(yàn)

返回說明

用戶允許授權(quán)后，將會重定向到redirect_uri的網(wǎng)址上，并且?guī)蟘ode 和state 參數(shù)

redirect_uri?code=CODE&state=STATE

若用戶禁止授權(quán)，則重定向后不會帶上code 參數(shù)，僅會帶上state 參數(shù)

redirect_uri?state=STATE

請求示例

登錄一號店網(wǎng)站應(yīng)用

打開后，一號店會生成state 參數(shù)，跳轉(zhuǎn)到

irect_uri=https://passport.yhd.com/wechat/callback.do&response_type=code&scope=snsapi_login&state=3d6be0a4035d839573b04816624a415e#wechat_redirect

微信用戶使用微信掃描二維碼并且確認(rèn)登錄后，PC 端會跳轉(zhuǎn)到 https://passport.yhd.com/wechat/callback.do?code=CODE&state=3d6be0a4035d839573b04816624a415e

為了滿足網(wǎng)站更定制化的需求，我們還提供了第二種獲取code 的方式，支持網(wǎng)站將微信登錄二維碼內(nèi)嵌到自己頁面中，用戶使用微信掃碼授權(quán)后通過JS 將code 返回給網(wǎng)站。 JS 微信登錄主要用途：網(wǎng)站希望用戶在網(wǎng)站內(nèi)就能完成登錄，無需跳轉(zhuǎn)到微信域下登錄后再返回，提升微信登錄的流暢性與成功率。 網(wǎng)站內(nèi)嵌二維碼微信登錄JS 實(shí)現(xiàn)辦法： 步驟1：在頁面中先引入如下JS 文件（支持https ）： 步驟2：在需要使用微信登錄的地方實(shí)例以下JS 對象： varobj = new WxLogin({

id:"login_container",

appid: "",

scope: "",

redirect_uri: "",

state: "",

style: "",

href: ""

});

參數(shù)說明 是

否

參數(shù)

必

須 說明

id 是 第三方頁面顯示二維碼的容器id

appid 是 應(yīng)用唯一標(biāo)識，在微信開放平臺提交應(yīng)用審核通過后獲得

應(yīng)用授權(quán)作用域，擁有多個作用域用逗號（, ）分隔，網(wǎng)頁應(yīng)用目前

scope 是

僅填寫snsapi_login即可

redirect_uri 是 重定向地址，需要進(jìn)行UrlEncode

用于保持請求和回調(diào)的狀態(tài)，授權(quán)請求后原樣帶回給第三方。該參

state 否 數(shù)可用于防止csrf 攻擊（跨站請求偽造攻擊），建議第三方帶上該

參數(shù)，可設(shè)置為簡單的隨機(jī)數(shù)加session 進(jìn)行校驗(yàn)

提供"black" 、"white" 可選，默認(rèn)為黑色文字描述。詳見文檔底部

style 否

FAQ

href 否 自定義樣式鏈接，第三方可根據(jù)實(shí)際需求覆蓋默認(rèn)樣式。詳見文檔

第二步：通過code 獲取access_token

通過code 獲取access_token

參數(shù)說明 是否必

參數(shù)

須 說明

appid 是 應(yīng)用唯一標(biāo)識，在微信開放平臺提交應(yīng)用審核通過后獲得

應(yīng)用密鑰AppSecret ，在微信開放平臺提交應(yīng)用審核通過后獲

secret 是

得

code 是 填寫第一步獲取的code 參數(shù)

grant_type 是 填authorization_code

返回說明

正確的返回： {

"access_token":"ACCESS_TOKEN", "expires_in":7200,

"refresh_token":"REFRESH_TOKEN",

"openid":"OPENID",

"scope":"SCOPE","unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"}

參數(shù) 說明

access_token 接口調(diào)用憑證

expires_in access_token接口調(diào)用憑證超時時間，單位（秒）

refresh_token 用戶刷新access_token

openid 授權(quán)用戶唯一標(biāo)識

scope 用戶授權(quán)的作用域，使用逗號（, ）分隔

unionid 當(dāng)且僅當(dāng)該網(wǎng)站應(yīng)用已獲得該用戶的userinfo 授權(quán)時，才會出現(xiàn)該字段。 錯誤返回樣例：

{"errcode":40029,"errmsg":"invalid code"}

刷新access_token有效期

access_token是調(diào)用授權(quán)關(guān)系接口的調(diào)用憑證，由于access_token有效期（目前為2個小時）較短，當(dāng)access_token超時后，可以使用refresh_token進(jìn)行刷新，access_token刷新結(jié)果有兩種： 1. 1. 若access_token已超時，那么進(jìn)行refresh_token會獲取一個新的access_token，新

的超時時間；

2. 2. 若access_token未超時，那么進(jìn)行refresh_token不會改變access_token，但超時時

間會刷新，相當(dāng)于續(xù)期access_token。

refresh_token擁有較長的有效期（30天），當(dāng)refresh_token失效的后，需要用戶重新授權(quán)。

請求方法

獲取第一步的code 后，請求以下鏈接進(jìn)行refresh_token：

參數(shù)說明 參數(shù) 是否必須 說明

appid 是 應(yīng)用唯一標(biāo)識

grant_type 是 填refresh_token

refresh_token 是 填寫通過access_token獲取到的refresh_token參數(shù)

返回說明

正確的返回： {

"access_token":"ACCESS_TOKEN", "expires_in":7200,

"refresh_token":"REFRESH_TOKEN",

"openid":"OPENID",

"scope":"SCOPE"

}

參數(shù) 說明

access_token 接口調(diào)用憑證

expires_in access_token接口調(diào)用憑證超時時間，單位（秒） refresh_token 用戶刷新access_token

openid 授權(quán)用戶唯一標(biāo)識

scope 用戶授權(quán)的作用域，使用逗號（, ）分隔

錯誤返回樣例：

{"errcode":40030,"errmsg":"invalid refresh_token"}

注意： 1、Appsecret 是應(yīng)用接口使用密鑰，泄漏后將可能導(dǎo)致應(yīng)用數(shù)據(jù)泄漏、應(yīng)用的用戶數(shù)據(jù)泄漏等高風(fēng)險后果；存儲在客戶端，極有可能被惡意竊?。ㄈ绶淳幾g獲取Appsecret ）；

2、access_token 為用戶授權(quán)第三方應(yīng)用發(fā)起接口調(diào)用的憑證（相當(dāng)于用戶登錄態(tài)），存儲在客戶端，可能出現(xiàn)惡意獲取access_token 后導(dǎo)致的用戶數(shù)據(jù)泄漏、用戶微信相關(guān)接口功能被惡意發(fā)起等行為；

3、refresh_token 為用戶授權(quán)第三方應(yīng)用的長效憑證，僅用于刷新access_token，但泄漏后相當(dāng)于access_token 泄漏，風(fēng)險同上。

建議將secret 、用戶數(shù)據(jù)（如access_token）放在App 云端服務(wù)器，由云端中轉(zhuǎn)接口調(diào)用請求。

第三步：通過access_token調(diào)用接口

獲取access_token后，進(jìn)行接口調(diào)用，有以下前提：

1. 1. access_token有效且未超時；

2. 2. 微信用戶已授權(quán)給第三方應(yīng)用帳號相應(yīng)接口作用域（scope ）。

對于接口作用域（scope ），能調(diào)用的接口有以下：