微信小程序，小程序的一种，英文名Wechat Mini Program，是一种不需要下载安装即可使用的应用，它实现了应用“触手可及”的梦想，用户扫一扫或搜一下即可打开应用

冷启动：

小程序首次打开或销毁后再次被打开，此时小程序需要重新加载启动，即冷启动。会检查小程序是否有最新版本，如果有则将异步下载最新版本，但是仍将运行当前版本等到下一次冷启动时再运行最新版本。

热启动：

如果用户已经打开过某小程序，然后在一定时间内再次打开该小程序，此时小程序并未被销毁，只是从后台状态进入前台状态，这个过程就是热启动。发布新版本之后，无法立刻影响到所有现网用户，但最差情况下，也在发布之后 24 小时之内下发新版本信息到用户。用户下次打开时会先更新最新版本再打开

一、微信小程序登录流程

官网文档

小程序登录 | 微信开放文档

说明

1、调用 wx.login() 获取 临时登录凭证code ，并回传到开发者服务器。

2、调用 auth.code2Session 接口，换取 用户唯一标识 OpenID 、用户在微信开放平台帐号下的唯一标识UnionID（若当前小程序已绑定到微信开放平台帐号）和 会话密钥 session_key。

之后开发者服务器可以根据用户标识来生成自定义登录态，用于后续业务逻辑中前后端交互时识别用户身份。

注意事项

1、会话密钥 session_key 是对用户数据进行加密签名的密钥。为了应用自身的数据安全，开发者服务器不应该把会话密钥下发到小程序，也不应该对外提供这个密钥。

2、临时登录凭证 code 只能使用一次

（一）wx.login(Object object)

wx.login(Object object) | 微信开放文档

微信小程序通过wx.login()获取微信登录凭证code

code是一个带有时效性的凭证，有效时间是5分钟，它就相当于一个会过期的临时身份证，过期之后需要调用wx.login()重新生成登录凭证。

假如没有这个登录凭证，而是直接通过wx.login()直接拿到微信用户的编号1，再通过wx.request请求接口拉取到微信用户1在我们业务侧的个人信息，那么黑客就可以通过遍历所有的id，把整个业务侧的个人信息全部拉走，甚至相关的其他数据。

wx.login()是限频接口，一天的调用总次数不多于该小程序pv（访问量）的两倍。“限频接口”指的是一个用户在一段时间内不允许频繁调用的 wx 接口，此类接口一般会调用到微信后台系统资源，为了保护系统，同时防止用户资源被滥用，开发者需要对此类接口做适度的频率限制，不能无节制地调用

调用接口获取登录凭证（code）。通过凭证进而换取用户登录态信息，包括用户在当前小程序的唯一标识（openid）、微信开放平台帐号下的唯一标识（unionid，若当前小程序已绑定到微信开放平台帐号）及本次登录的会话密钥（session_key）等。用户数据的加解密通讯需要依赖会话密钥完成

参数

Object object

属性	类型	必填	说明	最低版本
timeout	number	否	超时时间，单位ms	1.9.90
success	function	否	接口调用成功的回调函数
fail	function	否	接口调用失败的回调函数
complete	function	否	接口调用结束的回调函数（调用成功、失败都会执行）

object.success 回调函数

参数

Object res

属性	类型	说明
code	string	用户登录凭证（有效期五分钟）。开发者需要在开发者服务器后台调用 code2Session，使用 code 换取 openid、unionid、session_key 等信息

示例代码

wx.login({success (res) {if (res.code) {//发起网络请求wx.request({url: 'https://example.com/onLogin',data: {code: res.code}})} else {console.log('登录失败！' + res.errMsg)}}
})

（二）小程序登录 auth.code2Session

小程序登录 | 微信开放文档

将微信登录凭证code 发送给开发者服务器，也就是我们自己的开发服务器。开发者服务器接收到code 后，将code和 AppID+AppSecret 对接微信接口服务，通过code2Session这个api接口来获取真正需要的微信用户的登录态session_key和 openid 和 unionid

AppID和AppSecret相当于微信小程序的身份证，获取方法：登录微信小程序的管理系统——>开发管理——>开发设置

微信公众平台

access_token

是公众号的全局唯一接口调用凭据，公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时，需定时刷新，重复获取将导致上次获取的access_token失效。
准确来说session_key才是真正的微信登录态信息，但是把 openid 和 unionid加起来一起理解，也可以笼统地理解为这些都是微信的登录态信息。

AppID和AppSecret，在小程序管理平台-设置-开发设置，他们是微信鉴别开发者身份的重要信息。AppID是公开信息，AppSecret是开发者的隐私数据，生成之后需要开发者保存起来，如果发现泄露需要在小程序管理平台重置AppSecret。

openid是微信用户的唯一标识

session_key是微信服务器给开发者服务器颁发的身份凭证，官方说需要定期使

wx.checkSession检测，但是在实际的场景里面其实也可以不用，用和不用主要看业务需求；早起官方是返回 expire_time 过期时间的，但是后面取消了，这里有一个比较新的官方回复：用户越频繁使用小程序，session_key有效期越长，…… | 微信开放社区，有效期是3天，但是这个不一定是固定的，具体看业务需求，总的原则就是维护一个自定义登录态，自定义登录需要和微信登录态关联。
unionid是用户在微信开放平台的唯一标识符，如果开发者拥有多个移动应用、网站应用、和公众帐号（包括小程序），可通过unionid来区分用户的唯一性，因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号（包括小程序），用户的unionid是唯一的。换句话说，同一用户，对同一个微信开放平台下的不同应用，unionId是相同的

接口说明

接口英文名

code2Session

功能描述

登录凭证校验。通过 wx.login 接口获得临时登录凭证 code 后传到开发者服务器调用此接口完成登录流程。更多使用方法详见小程序登录。

调用方式

HTTPS 调用


GET https://api.weixin.qq.com/sns/jscode2session

请求参数

属性	类型	必填	说明
appid	string	是	小程序 appId
secret	string	是	小程序 appSecret
js_code	string	是	登录时获取的 code，可通过wx.login获取
grant_type	string	是	授权类型，此处只需填写 authorization_code

返回参数

属性	类型	说明
session_key	string	会话密钥
unionid	string	用户在开放平台的唯一标识符，若当前小程序已绑定到微信开放平台帐号下会返回，详见 UnionID 机制说明。
errmsg	string	错误信息
openid	string	用户唯一标识
errcode	int32	错误码

调用示例

示例说明: HTTPS请求

请求数据示例


GET https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code

返回数据示例

{
"openid":"xxxxxx",
"session_key":"xxxxx",
"unionid":"xxxxx",
"errcode":0,
"errmsg":"xxxxx"
}

错误码

错误码	错误码取值	解决方案
40029	code 无效	js_code无效
45011	api minute-quota reach limit mustslower retry next minute	API 调用太频繁，请稍候再试
40226	code blocked	高风险等级用户，小程序登录拦截。风险等级详见用户安全解方案
-1	system error	系统繁忙，此时请开发者稍候再试

（三）获取接口调用凭据 getAccessToken

接口应在服务器端调用，详细说明参见服务端API。

接口说明

接口英文名

getAccessToken

功能描述

获取小程序全局唯一后台接口调用凭据，token有效期为7200s，开发者需要进行妥善保存。
如使用云开发，可通过云调用免维护 access_token 调用。
如使用云托管，也可以通过微信令牌/开放接口服务免维护 access_token 调用。

调用方式

HTTPS 调用


GET https://api.weixin.qq.com/cgi-bin/token

请求参数

属性	类型	必填	说明
grant_type	string	是	填写 client_credential
appid	string	是	小程序唯一凭证，即 AppID，可在「微信公众平台 - 设置 - 开发设置」页中获得。（需要已经成为开发者，且帐号没有异常状态）
secret	string	是	小程序唯一凭证密钥，即 AppSecret，获取方式同 appid

返回参数

属性	类型	说明
access_token	string	获取到的凭证
expires_in	number	凭证有效时间，单位：秒。目前是7200秒之内的值。

其他说明

access_token 的存储与更新

access_token 的存储至少要保留 512 个字符空间；
access_token 的有效期目前为 2 个小时，需定时刷新，重复获取将导致上次获取的 access_token 失效；
建议开发者使用中控服务器统一获取和刷新 access_token，其他业务逻辑服务器所使用的 access_token 均来自于该中控服务器，不应该各自去刷新，否则容易造成冲突，导致 access_token 覆盖而影响业务；
access_token 的有效期通过返回的 expires_in 来传达，目前是7200秒之内的值，中控服务器需要根据这个有效时间提前去刷新。在刷新过程中，中控服务器可对外继续输出的老 access_token，此时公众平台后台会保证在5分钟内，新老 access_token 都可用，这保证了第三方业务的平滑过渡；
access_token 的有效时间可能会在未来有调整，所以中控服务器不仅需要内部定时主动刷新，还需要提供被动刷新 access_token 的接口，这样便于业务服务器在API调用获知 access_token 已超时的情况下，可以触发 access_token 的刷新流程。

详情可参考微信公众平台文档《获取access_token》

免维护 access_token 的场景

如果使用了云托管或云开发，可以免维护 access_token，免鉴权直接调用服务端接口。

云托管：

通过微信令牌免维护 access_token 发起服务端调用，在调用微信服务端接口时，将 URL 上的 access_token 参数改成 cloudbase_access_token，值通过微信令牌取得。
调用微信支付也可以免维护鉴权和支付证书信息，避免证书泄漏风险。

云开发：

通过云开发云调用免维护 access_token 调用。
调用微信支付也可以免维护鉴权和支付证书信息，避免证书泄漏风险。

在线调试

开发者可以使用网页调试工具调试该接口

调用示例

示例说明: HTTPS调用示例

请求数据示例


GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

返回数据示例


{
"access_token":"ACCESS_TOKEN",
"expires_in":7200
}

错误码

错误码	错误码取值	解决方案
-1	system error	系统繁忙，此时请开发者稍候再试
40001	invalid credential access_token isinvalid or not latest	获取 access_token 时 AppSecret 错误，或者 access_token 无效。请开发者认真比对 AppSecret 的正确性，或查看是否正在为恰当的公众号调用接口
40013	invalid appid	不合法的 AppID ，请开发者检查 AppID 的正确性，避免异常字符，注意大小写

微信小程序-微信小程序登录流程（一）相关推荐

【小程序】新版uniapp登录流程以及获取头像和昵称
众所周知,小程序新版登录无法拿到头像和昵称! 这篇文章讲解如何获取到微信用户昵称和头像成品效果步骤一,点击登录,获取token 步骤二,登录按钮隐藏,展示上传按钮步骤三,点击上传按钮步骤四上传 ...
iOS小技能：app侧登录流程【上篇】（前置知识）
文章目录引言 I 前置知识 1.1 分布式系统下的session 1.2 服务端侧的登录处理 1.3 app侧需求 II app侧登录流程 2.1 开发步骤 2.2 token信息存储注意事项 2. ...
微信小程序开发(一) 微信登录流程
文/YXJ 地址:http://blog.csdn.net/sk719887916/article/details/53761107 最近在研究微信小程序开发,非常有意思的一个东西.花了一点时间写了一 ...
提高微信小程序的应用速度的常见方式有哪些? 小程序怎么实现下拉刷新? 简述微信小程序原理？小程序的发布流程（开发流程）分析下微信小程序的优劣势？小程序授权登录流程？小程序支付如何实现
小程序部分常见面试题提高微信小程序的应用速度的常见方式有哪些? 提高页面加载速度用户行为预测减少默认data的大小组件化方案分包预下载小程序与原生App相比优缺点? 优点: 基于微信平台开 ...
小程序微信授权登录服务器异常,微信小程序授权登录流程（强制绑定手机号码）...
本文作为多平台用户登录模块设计的扩展设计,即以手机号作为用户的唯一凭证. (图片摘自 2018.10.30) 小程序与服务器是通过自定义登录态来识别用户身份的,以下简称口令(token). 由于微信未 ...
微信小程序获取手机号登录流程
微信小程序获取手机号登录流程首先前端使用wx.login 获取code wx.login({success(res) {if (res.code) {that.setData({code: res. ...
微信小程序开发之——用户登录-登录流程(1)
一概述新建微信小程序自带用户登录简化小程序登录流程时序二新建微信小程序自带用户登录简化新建的微信小程序默认有用户登录功能,将多余功能去除后,简化如下 2.1 index.wxml < ...
面试官：说说微信小程序的登录流程？
一.背景传统的web开发实现登陆功能,一般的做法是输入账号密码.或者输入手机号及短信验证码进行登录服务端校验用户信息通过之后,下发一个代表登录态的 token 给客户端,以便进行后续的交互,每当t ...
微信小程序获取手机号登录流程(个人开发者账号不支持)
微信小程序获取手机号登录流程所需条件 1. 非个人开发者账号 2. AppID+AppSecret 流程思路 **注意:** 代码实现常见问题所需条件 1. 非个人开发者账号获取手机号文档这 ...
微信小程序登录流程php,微信小程序登录流程
对于小程序的登录流程微信官方文档也有描述不清的情况,作为一个后端开发研究了小程序关于登录的所有信息对整个登录流程做一个梳理. 首先明确一点,这里指的小程序登录时wx.login(),并不是授权获取用户 ...

微信小程序-微信小程序登录流程（一）

冷启动：

热启动：

一、微信小程序登录流程

说明

注意事项

（一）wx.login(Object object)

参数

Object object

示例代码

（二） 小程序登录 auth.code2Session

接口说明

接口英文名

功能描述

调用方式

HTTPS 调用

请求参数

返回参数

调用示例

请求数据示例

返回数据示例

错误码

（三） 获取接口调用凭据 getAccessToken

接口说明

接口英文名

功能描述

调用方式

HTTPS 调用

请求参数

返回参数

其他说明

access_token 的存储与更新

免维护 access_token 的场景

在线调试

调用示例

请求数据示例

返回数据示例

错误码

微信小程序-微信小程序登录流程（一）相关推荐

最新文章

热门文章

（二）小程序登录 auth.code2Session

（三）获取接口调用凭据 getAccessToken