公众平台开发——授权登录(OAuth2.0)
1、OAuth2.0简介
OAuth(开放授权)是⼀个开放标准,允许⽤户让第三⽅应⽤访问该⽤户在某⼀⽹站上存储的私密的资源(如照⽚,视频,联系⼈列表),⽽⽆需将⽤户名和密码提供给第三⽅应⽤。
允许⽤户提供⼀个令牌,⽽不是⽤户名和密码来访问他们存放在特定服务提供者的数据。每⼀个令牌授权⼀个特定的⽹站(例如,视频编辑⽹站)在特定的时段(例如,接下来的2⼩时内)内访问特定的资源(例如仅仅是某⼀相册中的视频)。这样,OAuth允许⽤户授权第三⽅⽹站访问他们存储在另外的服务提供者上的信息,⽽不需要分享他们的访问许可或他们数据的所有内容。
我们这⾥主要模拟在中使⽤OAuth2.0进⾏授权,获取⽤户的基本信息的过程。详细的开发⽂档可查看的官⽅⽂档。
公众平台开发者⽂档:
2、获取测试公众账号及其相关配置
1)、公众测试账号获取
登录完即可获取到⼀个测试公众账号的信息。主要有appId和appsecret两个参数,这将唯⼀标⽰⼀个,并且需要将他们作为参数获取⽤户的信息。
2)、关注
⽤户只有关注了这个了,才能通过打开有信息的链接去授权第三⽅登录,并获取⽤户信息的操作。故我们还需要⽤我们的关注号,操作如下:
还是刚刚那个登录成功后跳转的页⾯,我们可以看到,该页⾯有⼀个⼆维码,我们可以通过扫描该⼆维码进⾏关注,关注成功在右边
的“⽤户列表”会多⼀个⽤户的信息。如下图所⽰:
3)、配置回调函数
我们在客户端访问第三⽅⽹页(即我们⾃⼰的⽹页)的时候,我们可以通过⽹页授权机制,我们不仅要有前⾯获取到的appid 和appsecret还需要有当⽤户授权之后,回调的域名设置,即⽤户授权后,页⾯会跳转到哪⾥。具体的配置如下:
还是在刚刚的页⾯,有⼀个“⽹页授权获取⽤户基本信息”,点击后⾯的修改
填写回调的域名:
如果你的⽹址没有被列⼊过⿊名单,就会在顶部出现
然后,域名配置就成功了!
注意:
1、这⾥填写的是域名(是⼀个字符串),⽽不是URL,因此请勿加等协议头;
2、授权回调域名配置规范为全域名,⽐如需要⽹页授权的域名为:www.qq,配置以后此域名下⾯的页⾯www.qq/music.html 、www.qq/login.html 都可以进⾏OAuth2.0鉴权。但pay.qq 、 music.qq 、 qq⽆法进⾏OAuth2.0鉴权
到这⾥,我们就获取到我们必须⽤到的测试信息了,包括
appID、appsecret的获取;
关注我们测试的;
配置扫码⽤户授权后回调的域名。
3、授权登录并获取⽤户基本信息
授权使⽤的是OAuth2.0授权的⽅式。主要有以下简略步骤:
第⼀步:⽤户同意授权,获取code
第⼆步:通过code换取⽹页授权access_token
第三步:刷新access_token(如果需要)
第四步:拉取⽤户信息(需scope为 snsapi_userinfo)
详细的步骤如下:
1.⽤户关注公众账号。
2.公众账号提供⽤户请求授权页⾯URL。
3.⽤户点击授权页⾯URL,将向服务器发起请求
4.服务器询问⽤户是否同意授权给公众账号(scope为snsapi_base时⽆此步骤)
5.⽤户同意(scope为snsapi_base时⽆此步骤)
6.服务器将CODE通过回调传给公众账号
7.公众账号获得CODE
8.公众账号通过CODE向服务器请求Access Token
9.服务器返回Access Token和OpenID给公众账号
10.公众账号通过Access Token向服务器请求⽤户信息(scope为snsapi_base时⽆此步骤)
11.服务器将⽤户信息回送给公众账号(scope为snsapi_base时⽆此步骤)
1)、⽤户授权并获取code
在域名(前⾯配置的回调域名)根⽬录下,新建⼀个⽂件,命名为oauth.php(名字随便你取,下⾯的redirect_uri做相应修改即可)该php实现的功能也很简单,只是将url上的code参数取出来并打印出来⽽已,⽅便我们进⾏接下来的操作。
qq不能换头像 Oauth.php中的内容如下:
<?php
if (isset($_GET['code'])){
echo $_GET['code'];
}else{
echo "NO CODE";
}
>
这个php的主要⽬的是当⽤户确认授权登录之后,会调转到redirect_uri这个地址上,并带上code参数(⽣成),我们为了⽅便获取,这⾥也可以是⼀个空⽩的页⾯,下⾯有其他⽅法得到url上⾯的code参数。
请求授权页⾯的构造⽅式:
open.weixin.qq/connect/oauth2/authorize?
appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
参数说明
参数必
须
说明
appid是的唯⼀标识(这个就是我们前⾯申请的)redirect_uri是授权后重定向的回调链接地址(
我们前⾯申请的)response_type是返回类型,请填写code
scope是应⽤授权作⽤域,snsapi_base (不弹出授权页⾯,直接跳转,只能获取⽤户
openid),snsapi_userinfo (弹出授权页⾯,可通过openid拿到昵称、性别、所在地。并且,即使在未关注的情况下,只要⽤户授权,也能获取其信息)
state否重定向后会带上state参数,开发者可以填写a-zA-Z0-9的参数值,最多128字节,该值会被原样返回,我们可以将其进⾏⽐对,防⽌别⼈的攻击。
#wechat_redirect否直接在打开链接,可以不填此参数。做页⾯302重定向时候,必须带此参数
应⽤授权作⽤域:由于snsapi_base只能获取到openid,意义不⼤,所以我们使⽤snsapi_userinfo。
回调地址:填写为刚才上传后的oauth.php的⽂件地址,
state参数:随便⼀个数字,这⾥填123
尤其注意:由于授权操作安全等级较⾼,所以在发起授权请求时,会对授权链接做正则强匹配校验,如果链接的参数顺序不对,授权页⾯将⽆法正常访问
构造请求url如下:
open.weixin.qq/connect/oauth2/authorize?
appid=wx4a22b50d7e897f97&redirect_uri=http%3a%2f%2fad.seewo%2foauth.php&response_type=code&scope=snsapi_userinfo&state=123#wech at_redirect
这个需要发到中,使⽤浏览器才能打开。
点开上⾯的链接,点击确认登录即可跳转到刚刚配置的回调页⾯,并获取了传回的code参数,⽤于下⾯的操作。
授权页⾯如下:
授权后跳转的页⾯(我们前⾯配置的redirect_uri):
假如我们没有在php中打印出了code,这个时候我们可以通过右上⾓按钮中的复制链接,得到链接如下:
ad.seewo/oauth2.php?code=0217a07e9c194dbf539c45c266b2dcfZ&state=123
code说明 :
code作为换取access_token的票据,每次⽤户授权带上的code将不⼀样,code只能使⽤⼀次,5分钟未被使⽤⾃动过期。
1)、使⽤code换取access_token
换取⽹页授权access_token页⾯的构造⽅式:
参数说明
参数是否必须说明
appid是的唯⼀标识
secret是的appsecret
code是填写第⼀步获取的code参数
grant_type是填写为authorization_code
code:在这⾥填写为上⼀步获得的值。
构造的url如下,在⽹页中打开链接就⾏:
api.weixin.qq/sns/oauth2/access_token?
appid=wx41cb8dbd827a16e9&secret=d4624c36b6795d1d99dcf0547af5443d&code=00137323023ab55775be09d6d8e75ffA&grant_type=authorization_ code
只有获取code的链接必须是在客户端中点开的,获取access_token和⽤户信息可以直接在⽹页打开即可。
返回说明
正确时返回的JSON数据包如下:
{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}
参数描述
access_token⽹页授权接⼝调⽤凭证,注意:此access_token与基础⽀持的access_token不同
expires_in access_token接⼝调⽤凭证超时时间,单位(秒)
refresh_token⽤户刷新access_token
openid⽤户唯⼀标识
scope⽤户授权的作⽤域,使⽤逗号(,)分隔
错误时会返回JSON数据包如下(⽰例为Code⽆效错误):
{"errcode":40029,"errmsg":"invalid code"}
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论