一丶授权

1.首先，小程序的授权和登陆是两个不同的操作。

2.授权，是永久的。可以手动在小程序右上角的点点点进去，取消授权。

3.授权分为用户信息授权，地理位置授权，录音功能授权，摄像头授权等等。最常用的授权是用户信息授权。

4.旧代码授权使用wx.authorize，不过如今已经废弃不能用了。

5.如今只能通过按钮点击授权，代码如下：

授权

js回调代码：

getUserInfo: function(e) {

console.log(e)

app.globalData.userInfo = e.detail.userInfo

this.setData({

userInfo: e.detail.userInfo,

hasUserInfo: true

})

}

二丶登陆

在传统应用中，输入账号和密码实现登录。

在小程序中，通过微信服务器获取到 openId 实现登陆。

PS：openid

每个用户相对于每个微信应用(公众号或小程序等)的openId 是唯一的。也就是说一个用户相对于不同的微信应用会存在不同的openId。

PS:unionid

同一用户，对同一个微信开放平台下的不同应用，unionid是相同的

小程序登陆步骤如下：

1.注册微信小程序、登录后台在设置中获得appId和secret(密钥)

2.调用wx.login()接口获取登录凭证code

3.调用wx.request()接口把code发送到服务器后台

4.服务器后台，使用appId、secret、code访问微信服务器，获取openid和session_key

5.服务器定义加密字符串aaa对应openid和session_key,将aaa返回给前端

6.前端使用wx.setStorageSync() 保存aaa

当下次进入微信小程序的时候，

1.前端判断授权

2.前端获取wx.getStorage获取aaa

3.前端通过aaa获取session_key

4.前端通过wx.checkSession() 获取是否过期。

5.如果没有过期，那么不用再次登陆。

跟群里大佬聊天，有了新的理解

1.调用wx.login()接口获取登录凭证code

2.调用wx.request()，数据库没有openid，服务器获取openid，如果不存在就保存

4.服务器加密openid为3rd_openid, 3rd_openid有时间限制。

4.将3rd_openid传给前端

5.前端将3rd_openid保存在缓存，每次操作带上参数3rd_openid

再次进入小程序：

1.getStorageSync获取3rd_openid

2.每次操作带上参数3rd_openid

3.如果3rd_openid过期了，返回登陆界面

4.重新登陆,服务器获取openid，发现已经存在，返给你加密后的

但是有问题，就是没有密码。因为3rd_openid能在后台解出来openid，用户名和密码等信息。

后台的不是很了解了。

4045079-bdf8f5df03c83f39.jpg

································

又有了新的理解

我们只需要formid和openid，为啥要微信登陆？只需要微信授权就可以了。

1.第一次进入，用户输入手机号，验证码登陆，

2.如果手机号和登陆吗正确，但是没有openid，后台返回一个需要openid的参数(后台推送需要openid)

3.前端wx.login将code发送给后台

4.后台保存openid，并返回3rd_openid

5.前端保存3rd_openid,每次发送请求带上3rd_openid

6.后台报错，超时间，前端再次验证码登陆，

https://www.cnblogs.com/zhangjiabin/p/8037523.html

PS：这里可能有人疑惑，既然有了user_id还要session_key干嘛。因为如果session_key过期了，你又不再次登陆(wx.login)，那么你在微信服务器眼里就是没有登陆的。那么很多功能不能使用。比如支付，推送等。

PS：我不使用openid相关的功能，是不是就不用这么麻烦了？是的。

PS：登陆时间(session_key)持续时间长度，不是固定的，是根据你使用频率决定

PS：官方提供的，获取openid和session_key的接口如下：

https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code

小程序登陆步骤图：

login1.png

// 登录

wx.login({

success: res => {

// ------ 获取凭证 ------

var code = res.code;

if (code) {

// console.log('获取用户登录凭证：' + code);

// ------ 发送凭证 ------

wx.request({

url: '后台服务器地址',

data: { code: code },

method: 'POST',

header: {'content-type': 'application/json'},

success: function (res) {

if (res.statusCode == 200) {

// console.log("获取到的openid为：" + res.data)

// that.globalData.openid = res.data

wx.setStorageSync('openid', res.data)

} else {

console.log(res.errMsg)

}

},

})

} else {

console.log('获取用户登录失败：' + res.errMsg);

}

}

})

那么，有人会问了，如果小程序，不通过后台服务器，而是直接访问微信服务器获取openid和session_key不可以么？当然可以。但是不安全。

因为小程序的开发者密码(AppSecret)是一个非常重要的字段，使用该密码可以调用小程序的所有后台接口。请不要将该字段放置在微信小程序的前端代码中，因为微信手机客户端容易被反编译并轻松获得Appsecret，造成重大的安全威胁。开发者应将Appsecret保存到后台服务器中。微信公众平台小程序后台的服务器地址设置也将禁止将“api.weixin.qq.com”域名的配置，所有对于“api.weixin.qq.com”域名下的接口请求请全部通过后台服务器发起，请勿直接通过小程序的前端代码发起。