前情概要
- 小程序端有
wx.login获取code,而后后端通过code换取session_key; - 小程序端有
wx.getUserInfo获取用户信息
一开始解决登录的时候,前端通过 wx.login 获取到 code,而后通过 wx.getUserInfo 获取用户相干的信息,一起传递给后端,后端进行 sha1 验证,然而每次登录的时候,第一次验证不通过,导致登录不胜利,须要第二次进行登录。
自身接口的设计就是通过 code 获取到 session_key 和 unionid 进行验证,如果数据库存在就间接进行以后用户登录,不存在通过 sha1 验证用户信息胜利后,解密用户信息获取用户数据并进行主动注册后登录。
问题剖析
小程序的文档,我认真看了下,没发现有阐明这两个接口调用的现后程序,屡次测试不胜利之后才发现:
- 小程序调用
wx.login的时候,并不会在微信小程序本人的服务器上生成session_key; session_key有过期工夫,具体过期工夫小程序文档的阐明是,应用小程序越频繁过期工夫越久;code有过期工夫,过期工夫5分钟;- 每次调用
wx.login获取到的code不一样,然而如果session_key没有过期,那么后端通过接口取到的session_key和上一次code取到的session_key统一; - 小程序端通过
wx.getUserInfo获取到的信息,相干的signature依赖于wx.login所产生的session_key进行加密;
以上是小程序的机制,从这里来看,按理来说,调用 wx.login 而后再调用 wx.getUserInfo 接口获取用户数据,传递到后端,再申请 session_key 而后验证用户数据进行主动注册应该来说是可行的,但实际上坑就再第一点。
也就是说,小程序端调用 wx.getUserInfo获取用户信息的时候,应用的是上一次服务端申请产生的session_key,当数据一起传送到后端的时候,通过code获取数据,然而此时上次的session_key曾经过期了,会返回新的session_key,而后就会导致验证不通过。
所以整体上来说,后端应该先通过 wx.login 接口的 code 在后端获取到 session_key 以及 unionid,如果 unionid 检测以后用户不存在,缓存 session_key 和 unionid,再告知前端通过 wx.getUserInfo 接口向后端申请并进行注册绑定。
发表回复