第三方数据审核取不了 微信网页第三方登录原理
专业出黑
微信网页第三方登录原理
微信开放平台和公众平台的区别
1.公众平台面向的时普通的用户,比如自媒体和媒体,企业官方微信公众账号运营人员使用,当然你所在的团队或者公司有实力去开发一些内容,也可以调用公众平台里面的接口,比如自定义菜单,自动回复,查询功能。目前大多数微信通过认证之后,都在做这个事情。
2.开放平台面向的开发者和第三方独立软件开发商。我觉得开发平台最大的开放就是微信登录。当年腾讯没有花大力气去做统一登录这个事情,导致目前各个网站都要弄一套登录机制。好在他们现在认清了局势。开发者或软件开发商,通过微信开放提供的平台和接口,可以开发适合企业的电子商务网站,扫描二维码进去一个游戏界面,然后去购买商品等。当然后续开放平台要开放支付接口,那么类似口袋通这种软件开发厂商,就可以为大型,中小企业提供微信小店这种服务和软件了。
公众平台就是服务号订阅号的管理开发后台。
开发平台说得通俗一点就是实现手机里边安装软件的内容一键分享朋友圈;
下面的第三方登陆就是依托于开放平台()的功能
准备工作
网站应用微信登录是基于.0协议标准构建的微信.0授权登录系统。
在进行微信.在进行微信.0授权登录接入之前,在微信开放平台注册开发者账号,并拥有一个已审核通过的网站应用,并获得相应的AppID和,申请微信登录且通过审核后,可开始接入流程。
授权流程说明
微信.0授权登录让微信用户使用微信身份安全登录第三方应用或网站,在微信用户授权登录已接入微信.0的第三方应用后,第三方可以获取到用户的接口调用凭证(),通过可以进行微信开放平台授权关系接口调用,从而可实现获取微信用户基本开放信息和帮助用户实现基础开放功能等。
微信.0授权登录目前支持模式,适用于拥有端的应用授权。该模式整体流程为:
1. 第三方发起微信授权登录请求,微信用户允许授权第三方应用后,微信会拉起应用或重定向到第三方网站,并且带上授权临时票据code参数;
2. 通过code参数加上AppID和等,通过API换取;
3. 通过进行接口调用,获取用户基本数据资源或帮助用户实现基本操作。
获取时序图:
第一步:请求CODE
第三方使用网站应用授权登录前请注意已获取相应网页授权作用域(scope=),则可以通过在PC端打开以下链接:
若提示“该链接无法访问”,请检查参数是否填写错误,如的域名与审核时填写的授权域名不一致或scope不为。
参数说明参数是否必须说明
appid
是
应用唯一标识
是
重定向地址,需要进行
是
填code
scope
是
应用授权作用域,拥有多个作用域用逗号(,)分隔,网页应用目前仅填写即可
state
否
用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加进行校验
返回说明
用户允许授权后,将会重定向到的网址上,并且带上code和state参数
?code=CODE&state=STATE
若用户禁止授权,则重定向后不会带上code参数,仅会带上state参数
?state=STATE
请求示例
登录一号店网站应用
打开后,一号店会生成state参数,跳转到
微信用户使用微信扫描二维码并且确认登录后,PC端会跳转到
为了满足网站更定制化的需求,我们还提供了第二种获取code的方式,支持网站将微信登录二维码内嵌到自己页面中,用户使用微信扫码授权后通过JS将code返回给网站。
JS微信登录主要用途:网站希望用户在网站内就能完成登录,无需跳转到微信域下登录后再返回,提升微信登录的流畅性与成功率。 网站内嵌二维码微信登录JS实现办法:
步骤1:在页面中先引入如下JS文件(支持https):步骤2:在需要使用微信登录的地方实例以下JS对象:
var obj = new ({
id:"",
appid: "",
scope: "",
: "",
state: "",
style: "",
href: ""
});
参数说明参数是否必须说明
id
是
第三方页面显示二维码的容器id
appid
是
应用唯一标识,在微信开放平台提交应用审核通过后获得
scope
是
应用授权作用域,拥有多个作用域用逗号(,)分隔,网页应用目前仅填写即可
是
重定向地址,需要进行
state
否
用于保持请求和回调的状态,授权请求后原样带回给第三方。该参数可用于防止csrf攻击(跨站请求伪造攻击),建议第三方带上该参数,可设置为简单的随机数加进行校验
style
否
提供"black"、"white"可选,默认为黑色文字描述。详见文档底部FAQ
href
否
自定义样式链接,第三方可根据实际需求覆盖默认样式。详见文档底部FAQ
第二步:通过code获取
通过code获取
参数说明参数是否必须说明
appid
是
应用唯一标识,在微信开放平台提交应用审核通过后获得
是
应用密钥,在微信开放平台提交应用审核通过后获得
code
是
填写第一步获取的code参数
是
填
返回说明
正确的返回:
"":"",
"":7200,
"":"",
"":"",
"scope":"SCOPE","": ""}
参数说明
接口调用凭证
接口调用凭证超时时间,单位(秒)
用户刷新
授权用户唯一标识
scope
用户授权的作用域,使用逗号(,)分隔
只有在用户将公众号绑定到微信开放平台账号后,才会出现该字段。
错误返回样例:
{"":40029,"":" code"}
刷新有效期
是调用授权关系接口的调用凭证,由于有效期(目前为2个小时)较短,当超时后,可以使用进行刷新,刷新结果有两种:
1. 若已超时,那么进行会获取一个新的,新的超时时间;
2. 若未超时,那么进行不会改变,但超时时间会刷新,相当于续期。
拥有较长的有效期(30天),当失效的后,需要用户重新授权。
请求方法
获取第一步的code后,请求以下链接进行:
参数说明参数是否必须说明
appid
是
应用唯一标识
是
填
是
填写通过获取到的参数
返回说明
正确的返回:
"":"",
"":7200,
"":"",
"":"",
"scope":"SCOPE"
参数说明
接口调用凭证
接口调用凭证超时时间,单位(秒)
用户刷新
授权用户唯一标识
scope
用户授权的作用域,使用逗号(,)分隔
错误返回样例:
{"":40030,"":" "}
注意:
1、 是应用接口使用密钥,泄漏后将可能导致应用数据泄漏、应用的用户数据泄漏等高风险后果;存储在客户端,极有可能被恶意窃取(如反编译获取);
2、 为用户授权第三方应用发起接口调用的凭证(相当于用户登录态),存储在客户端,可能出现恶意获取 后导致的用户数据泄漏、用户微信相关接口功能被恶意发起等行为;
3、 为用户授权第三方应用的长效凭证,仅用于刷新,但泄漏后相当于 泄漏,风险同上。
建议将、用户数据(如)放在App云端服务器,由云端中转接口调用请求。
第三步:通过调用接口
获取后,进行接口调用,有以下前提:
1. 有效且未超时;
2. 微信用户已授权给第三方应用账号相应接口作用域(scope)。
对于接口作用域(scope),能调用的接口有以下:
授权作用域(scope)接口接口说明
/sns//
通过code换取、和已授权scope
/sns//
刷新或续期使用
/sns/auth
检查有效性
/sns/
获取用户个人信息
其中属于基础接口,若应用已拥有其它scope权限,则默认拥有的权限。使用可以让移动端网页授权绕过跳转授权登录页请求用户授权的动作,直接跳转第三方网页带上授权临时票据(code),但会使得用户已授权作用域(scope)仅为,从而导致无法获取到需要用户授权才允许获得的数据和基础功能。
接口调用方法可查阅《微信授权关系接口调用指南》
F.A.Q1. 什么是授权临时票据(code)?
答:第三方通过code进行获取的时候需要用到,code的超时时间为10分钟,一个code只能成功换取一次即失效。code的临时性和一次保障了微信授权登录的安全性。第三方可通过使用https和state参数,进一步加强自身授权登录的安全性。
2. 什么是授权作用域(scope)?
答:授权作用域(scope)代表用户授权给第三方的接口权限,第三方应用需要向微信开放平台申请使用相应scope的权限后,使用文档所述方式让用户进行授权,经过用户授权,获取到相应后方可对接口进行调用。
3. 网站内嵌二维码微信登录JS代码中style字段作用?
答:第三方页面颜色风格可能为浅色调或者深色调,若第三方页面为浅色背景,style字段应提供"black"值(或者不提供,black为默认值),则对应的微信登录文字样式为黑色。相关效果如下:
若提供"white"值,则对应的文字描述将显示为白色,适合深色背景。相关效果如下:
4.网站内嵌二维码微信登录JS代码中href字段作用?
答:如果第三方觉得微信团队提供的默认样式与自己的页面样式不匹配,可以自己提供样式文件来覆盖默认样式。举个例子,如第三方觉得默认二维码过大,可以提供相关css样式文件,并把链接地址填入href字段
. . {width: 200px;}
. .title {: none;}
. .info {width: 200px;}
. {:none}
. . {text-align: ;}
相关效果如下:
通过code获取接口说明
通过code获取的接口。
请求说明
