要实现第三方登录的功能首先要明白oauth2.0的认证原理。

OAUTH 2.0

OAUTH是一种开放的协议，为桌面程序或者基于BS的web应用提供了一种简单的，标准的方式去访问需要用户授权的API服务。

在没有oauth服务下，如果一个用户拥有两项服务：一项服务是图片在线存储服务A，另一个是图片在线打印服务B。如下图所示。由于服务A与服务B是由两家不同的服务提供商提供的，所以用户在这两家服务提供商的网站上各自注册了两个用户，假设这两个用户名各不相同，密码也各不相同。当用户要使用服务B打印存储在服务A上的图片时，用户该如何处理？法一：用户可能先将待打印的图片从服务A上下载下来并上传到服务B上打印，这种方式安全但处理比较繁琐，效率低下；法二：用户将在服务A上注册的用户名与密码提供给服务B，服务B使用用户的帐号再去服务A处下载待打印的图片，这种方式效率是提高了，但是安全性大大降低了，服务B可以使用用户的用户名与密码去服务A上查看甚至篡改用户的资源。

这也促使OAUTH项目组的产生。OAuth是由Blaine Cook、Chris Messina、Larry Halff 及David Recordon共同发起的，目的在于为API访问授权提供一个开放的标准。OAuth规范的1.0版于2007年12月4日发布。

简单的来说，OAUTH认证授权就三个步骤，三句话可以概括：

1. 获取未授权的Request Token

2. 获取用户授权的Request Token

3. 用授权的Request Token换取Access Token

详细的一个服务流程如下【盗图】

A. 使用者(第三方软件)向OAUTH服务提供商请求未授权的Request Token。向Request Token URL(获取未授权的Request Token服务地址)发起请求，请求需要带上的参数见上图。获取未授权的Request Token，其实就是使用者的ID和其对应的密钥(appid\appkey、appsecret)，OAUTH服务的直接使用者是开发者开发出来的应用。所以该参数值的获取一般是要去OAUTH服务提供商处注册一个应用，再获取该应用的oauth_consumer_key和oauth_consumer_secret。

B.OAUTH服务提供商同意使用者的请求，并向其颁发未经用户授权的oauth_token与对应的oauth_token_secret，并返回给使用者。

C.使用者向OAUTH服务提供商请求用户授权的Request Token。向User Authorization URL(获取用户授权的Request Token服务地址)发起请求，请求带上上步拿到的未授权的token与其密钥。

D.OAUTH服务提供商将引导用户授权。该过程可能会提示用户，你想将哪些受保护的资源授权给该应用。此步可能会返回授权的Request Token也可能不返回。

E.Request Token 授权后，使用者将向Access Token URL(用授权的Request

Token换取Access Token的服务地址)发起请求，将上步授权的Request Token换取成Access Token。请求的参数见上图，这个比第一步A多了一个参数就是Request Token。

F.OAUTH服务提供商同意使用者的请求，并向其颁发Access Token与对应的密钥，并返回给使用者。

G.使用者以后就可以使用上步返回的Access Token访问用户授权的资源。

微信第三方登录过程

用户在微信客户端中访问第三方网页，公众号可以通过微信网页授权机制，或通过app接入微信通过授权，来获取用户基本信息，进而实现业务逻辑。

基本步骤为：

1、首先我们需要以开发者的身份向第三方登陆平台申请接入应用，申请成功后，我们会获得一个appID和一个secrectID。

2、当我们的网站需接入微信登陆时，会引导用户(通过微信logo或其他图示)跳转到微信的登陆授权页面，此时把之前申请的appID带给登陆授权页面。

其实质上是引导用户打开下面的链接：

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

其中，redirect_uri是授权后重定向的回调链接地址， 请使用 urlEncode 对链接进行处理。scope 是应用授权作用域，取值有snsapi_base或snsapi_userinfo，前者表示不弹出授权页面，直接跳转，只能获取用户openid，后者表示弹出授权页面，可通过openid拿到昵称、性别、所在地。并且， 即使在未关注的情况下，只要用户授权，也能获取其信息 。

一个完整的示例为

https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx6f3020ce6c245df0&redirect_uri=http%3A%2F%2Fw.k189.cn%2Findex.php%2FHuoDong%2FFlowhongbao%2Findex&response_type=code&scope=snsapi_base&state=123&connect_redirect=1#wechat_redirect

这需要在微信客户端打开，否则链接返回

这个操作可拉起微信并打开授权登录页(前提是你安装了微信应用并已登录，未登录的会引导你先登录)。

授权页面一般如下

3、用户确认后即得到授权，微信会返回一个临时的code给我们。code是通过微信登录的时候微信给传回来的参数，当进行微信登录的时候就会自动传回来，所以可以通过判断code来确定是否微信登录过了。另外一个参数是state，即现在回调链接地址变为 redirect_uri/?code=CODE&state=STATE。如

code作为换取access_token的票据，每次用户授权带上的code将不一样，code只能使用一次，5分钟未被使用自动过期。

值得注意的是每种应用获取code的方法不一样，如在web应用中，回调页面中我们采用如下方式获取code。

if($_GET['code']&& $_GET['state']=='STATE'){

$code = $_GET['code'];

$url = …..;

header('Location: ' . $url);    //url页中使用code

}

在app应用中，code的获取是在前端完成的，由微信的 SDK 提供支持。这就需要将微信sdk集成到我们的app中，应用中完成注册，在触发微信登录请求的时候，就会拉起微信授权登录页，在确认登录后，微信就会通过sdk返回一个code。参考见http://songyuanlin1101.lofter.com/tag/%E6%8E%88%E6%9D%83sendauth.resp。

4、我们接受到code后，并取出，再次向微信发起请求，并携带接收的code，从微信服务器获取access_token。

由于公众号的secret和获取到的access_token安全级别都非常高，必须只保存在服务器，不允许传给客户端。后续刷新access_token、通过access_token获取用户信息等步骤，最好从服务器发起。如

https://api.weixin.qq.com/sns/oauth2/access_token?appid=wx6s3020ce6c245df0&secret=ab2f96861f249fccd507d5ad603f1684&code=001SM3Mq0NSGpn1HFxOq0lxTLq0SM3ME&grant_type=authorization_code

app应用在前端获取的code，所以从前端发起。

微信处理请求后，会返回一个access_token给我们，响应内容为

{

"access_token":"20_ZFVyj4V1DEdAfP9aW5Up7flx218q9MKfUNgpQRqGgBNqFkkZLuGNa5cgwmVmztce290Z5XsXd6mNmDdfgTaIRyB2PzXvgVXtFQ0OMJhBK4c",

"expires_in": 7200,

"refresh_token":"20_JTzkWALwqatbdfO3viFbYsmNNsvtfvUtcberLYEIr_wBkKAx9Y_axkyuKYzRBHvwWkL_j8h37VvRr31drrO9aUitefg6_TUtDmMw5OZMf7E",

"openid":"ovhlKuM-dEmGd6dI_tM-Lnfpj9hA",

"scope":"snsapi_userinfo",

"unionid":"oa27Ysu74dJNVm48GIlsLyNemcOA"

}

5、我们的网站获取到access_token后就可以调用微信提供的接口了，比如获取用户信息等，如果网页授权作用域为snsapi_userinfo，则此时开发者可以通过access_token和openid拉取用户信息了。最后把该用户信息存入到我们站点的数据库，并把信息保存到session中，实现用户的第三方登陆。如

响应内容为

{

"openid":"ovhdKuM-dEmGdsxI_tM-Lnfpj9hA",

"nickname": "Nosxxne",

"sex": 1,

"language":"zh_CN",

"city": "Haidian",

"province":"Beijing",

"country": "CN",

"headimgurl":"http:\/\/thirdwx.qlogo.cn\/mmopen\/vi_32\/Q0j4TwGyfTJapNpVib3icSUgibQX9fr0XzmzkEXBibQichFfIjH3yDUWbHkSSib0RiaE2f1PFjsNXlrFr0mTuxddlj6Xg\/132",

"privilege": [],

"unionid":"oa27Ysu74kJNVmss8GIlsLyNemcOA"

}

总结一下，整个登录流程为获取Code->用Code获取AccessToken和OpenId(和UnionId)->用AccessToken获取微信用户的微信信息。