Nivelle 开拓视野冲破艰险看见世界 身临其境贴近彼此感受生活

微信服务号开发之微信网页授权

2017-09-03
nivelle

微信网页授权

如果用户再微信客户端中访问第三方网页,公众号可以通过微信网页授权机制,来获取用户基本信息,进而实现业务逻辑

网页授权回调域名

  • 在微信公众号请求用户网页授权之前,开发者需要先到公众平台公众号设置,去修改回调域名.这里填写的是域名,不要加http://
  • 授权回调域名配置规范为全域名,配置之后,此域名吓得页面都可进行OAuth2.0鉴权
  • 如果公众号交给第三方进行管理,则不必做任何设置,第三方代替公众号实现网页授权即可

网页授权两种scope的说明

  • 以snaspi_base为scope发起的网页授权,是用来获取进入页面用户的openId的,并且是静默授权并自动跳转到回调页的.用户感知就是直接进入了回调页面(业务页)
  • 以snaspi_userinfo为scope发起的网页授权,是用来获取用户基本信息的.但这种授权需要用户手动同意,并且由于用户同意过所以无需关注,就可以在授权后获取该用户的基本信息.
  • 用户管理类接口中的”获取用户基本信息接口”,是在用户和公众号产生消息交互或关注事件推送后,才能根据OpenID来获取用户基本信息.

关于网页授权access_token和普通access_token的区别

  • 微信网页授权是通过OAuth2.0机制实现的,在用户授权给公众号后,公众号可以获取到一个网页授权特有的接口调用凭证(网页授权access_token),通过网页授权access_token可以进行授权后接口调用,获取用户基本信息
  • 其他维修接口,需要通过基础支持中的”获取access_token”接口来获取到普通access_token调用

关于UnionID

  1. 网页授权获取用户基本信息也遵循UnionID机制。即如果开发者有在多个公众号,或在公众号、移动应用之间统一用户帐号的需求,需要前往微信开放平台(open.weixin.qq.com)绑定公众号后,才可利用UnionID机制来满足上述需求。
  2. UnionID机制的作用说明:如果开发者拥有多个移动应用、网站应用和公众帐号,可通过获取用户基本信息中的unionid来区分用户的唯一性,因为同一用户,对同一个微信开放平台下的不同应用(移动应用、网站应用和公众帐号),unionid是相同的。

关于特殊场景吓得静默授权

  1. 以snsapi_base为scope的网页授权,就静默授权的,用户无感知
  2. 对于已经关注公众号的用户,如果用户从公众号的回话或自定义菜单进入本公众号的网页授权页,即使是scope为snsapi_userinfo,也就是静默授权,用户无感知.

授权过程

  • 用户同意授权,获取code
  • 通过code换取网页授权access_token
  • 刷新access_token
  • 拉取用户信息(需scope为snsapi_userinfo)
  • 检验授权凭证是否有效
第一步:用户同意授权,获取code

在确保微信公众号拥有授权作用域(scope参数)的权限下(默认拥有scope参数中的snsapi_base和snsapi_userinfo),引导关注者打开如下页面:

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

若提示“该链接无法访问”,请检查参数是否填写错误,是否拥有scope参数对应的授权作用域权限。 


参数 描述
appid 公众号的唯一标识
redirect_uri 授权后重定向的回调链接地址,请使用urlEncode对链接进行处理
response_type 返回类型,请填写code
scope 应用授权作用域,snsapi_base (不弹出授权页面,直接跳转,只能获取用户openid),snsapi_userinfo (弹出授权页面,可通过openid拿到昵称、性别、所在地。并且,即使在未关注的情况下,只要用户授权,也能获取其信息)
state 重定向后会带上state参数,开发者可以填写a-zA-Z0-9的参数值,最多128字节
#wechat_redirect 无论直接打开还是做页面302重定向时候,必须带此参数

用户同意授权后,页面跳转到 redirect_uri/?code=CODE&state=STATE。

code:code作为换取access_token的票据,每次用户授权带上的code将不一样,code只能使用一次,5分钟未被使用自动过期

第二步:通过code换取网页授权access_token

这里通过code换取的是一个特殊的网页授权access_token,与基础支持中的access_token(该access_token用于调用其他接口)不同.公众号可以通过下述接口来获取网页授权access_token.如果网页授权作用域为snsapi_base,则本步骤中获取到的网页授权access_token的同事,也获得了openId,snsapi_base式的网页授权流程即到此为止。

请求链接: https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code 

参数|描述 — |— appid | 公众号的唯一标识 secret |公众号的appsecret code |填写第一步获取的code参数 grant_type | 填写为authorization_code

返回数据:

{
 "access_token":"ACCESS_TOKEN",    
 "expires_in":7200,    
 "refresh_token":"REFRESH_TOKEN",    
 "openid":"OPENID",    
 "scope":"SCOPE" 
    
} 

参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
expires_in access_token接口调用凭证超时时间,单位(秒)
refresh_token 用户刷新access_token
openid 用户唯一标识,请注意,在未关注公众号时,用户访问公众号的网页,也会产生一个用户和公众号唯一的OpenID
scope 用户授权的作用域,使用逗号(,)分隔

错误时微信会返回JSON数据包如下(示例为Code无效错误):


{"errcode":40029,"errmsg":"invalid code"} 


基础接口访问凭证access_token获取方式:

/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

网页授权获取access_token:

/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

第三步:刷新access_token(如果需要)

由于access_token拥有较短的有效期,当access_token超时后,可以使用refresh_token进行刷新,refresh_token有效期为30天,当refresh_token失效之后,需要用户重新授权。

获取第二步的refresh_token后,请求以下链接获取access_token: 

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN 


参数 描述
appid 公众号的唯一标识
grant_type 填写为refresh_token
refresh_token 填写通过access_token获取到的refresh_token参数

返回数据包:

{ 
"access_token":"ACCESS_TOKEN",  
 "expires_in":7200,   
 "refresh_token":"REFRESH_TOKEN",   
 "openid":"OPENID",   
 "scope":"SCOPE" 
    
} 

参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
expires_in access_token接口调用凭证超时时间,单位(秒)
refresh_token 用户刷新access_token
openid 用户唯一标识
scope 用户授权的作用域,使用逗号(,)分隔
第四步:拉取用户信息(需scope为 snsapi_userinfo)

如果网页授权作用域为snsapi_userinfo,则此时开发者可以通过access_token和openid拉取用户信息了。

请求接口:http:GET(请使用https协议)

https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN 

参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
openid 用户的唯一标识
lang 返回国家地区语言版本,zh_CN 简体,zh_TW 繁体,en 英语

返回数据包:

{   

 "openid":" OPENID",  
 " nickname": NICKNAME,   
 "sex":"1",   
 "province":"PROVINCE"   
 "city":"CITY",   
 "country":"COUNTRY",    
 "headimgurl":    "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvL           LrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46",  
 "privilege":[ "PRIVILEGE1" "PRIVILEGE2"     ],    
 "unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL" 
} 

参数 描述
openid 用户的唯一标识
nickname 用户昵称
sex 用户的性别,值为1时是男性,值为2时是女性,值为0时是未知
province 用户个人资料填写的省份
city 普通用户个人资料填写的城市
country 国家,如中国为CN
headimgurl 用户头像,最后一个数值代表正方形头像大小(有0、46、64、96、132数值可选,0代表640*640正方形头像),用户没有头像时该项为空。若用户更换头像,原有头像URL将失效。
privilege 用户特权信息,json 数组,如微信沃卡用户为(chinaunicom)
unionid 只有在用户将公众号绑定到微信开放平台帐号后,才会出现该字段。

校验授权凭证是否有效

请求方法

http:GET(请使用https协议) https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID 
参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
openid 用户的唯一标识

评论