共计 1002 个字符,预计需要花费 3 分钟才能阅读完成。
前情概要
- 小程序端有
wx.login
获取code
,而后后端通过code
换取session_key
; - 小程序端有
wx.getUserInfo
获取用户信息
一开始解决登录的时候,前端通过 wx.login
获取到 code
,而后通过 wx.getUserInfo
获取用户相干的信息,一起传递给后端,后端进行 sha1
验证,然而每次登录的时候,第一次验证不通过,导致登录不胜利,须要第二次进行登录。
自身接口的设计就是通过 code
获取到 session_key
和 unionid
进行验证,如果数据库存在就间接进行以后用户登录,不存在通过 sha1
验证用户信息胜利后,解密用户信息获取用户数据并进行主动注册后登录。
问题剖析
小程序的文档,我认真看了下,没发现有阐明这两个接口调用的现后程序,屡次测试不胜利之后才发现:
- 小程序调用
wx.login
的时候,并不会
在微信小程序本人的服务器上生成session_key
; session_key
有过期工夫,具体过期工夫小程序文档的阐明是,应用小程序越频繁过期工夫越久;code
有过期工夫,过期工夫 5 分钟;- 每次调用
wx.login
获取到的code
不一样,然而如果session_key
没有过期,那么后端通过接口取到的session_key
和上一次code
取到的session_key
统一; - 小程序端通过
wx.getUserInfo
获取到的信息,相干的signature
依赖于wx.login
所产生的session_key
进行加密;
以上是小程序的机制,从这里来看,按理来说,调用 wx.login
而后再调用 wx.getUserInfo
接口获取用户数据,传递到后端,再申请 session_key
而后验证用户数据进行主动注册应该来说是可行的,但实际上坑就再第一点。
也就是说,小程序端调用 wx.getUserInfo
获取用户信息的时候,应用的是上一次服务端申请产生的 session_key
,当数据一起传送到后端的时候,通过code
获取数据,然而此时上次的 session_key
曾经过期了,会返回新的session_key
,而后就会导致验证不通过。
所以整体上来说,后端应该先通过 wx.login
接口的 code
在后端获取到 session_key
以及 unionid
,如果 unionid
检测以后用户不存在,缓存 session_key
和 unionid
,再告知前端通过 wx.getUserInfo
接口向后端申请并进行注册绑定。