微信公衆平臺開發 OAuth2.0網頁受權認證

引自：微信公衆平臺開發 OAuth2.0網頁受權認證

1、什麼是OAuth2.0

官方網站：http://oauth.NET/   http://oauth.Net/2/

權威定義：OAuth is An open protocol to allow secure authorization in a simple and standard method from web, mobile and desktop applications. 

OAuth是一個開放協議，容許用戶讓第三方應用以安全且標準的方式獲取該用戶在某一網站、移動或桌面應用上存儲的私密的資源（如用戶我的信息、照片、視頻、聯繫人列表），而無需將用戶名和密碼提供給第三方應用。

OAuth 2.0是OAuth協議的下一版本，但不向後兼容OAuth 1.0。 OAuth 2.0關注客戶端開發者的簡易性，同時爲Web應用，桌面應用和手機，和起居室設備提供專門的認證流程。

OAuth容許用戶提供一個令牌，而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。每個令牌受權一個特定的網站（例如，視頻編輯網站)在特定的時段（例如，接下來的2小時內）內訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth容許用戶受權第三方網站訪問他們存儲在另外的服務提供者上的信息，而不須要分享他們的訪問許可或他們數據的全部內容。

新浪微博API目前也使用OAuth 2.0。

2、微信公衆平臺OAuth2.0受權

微信公衆平臺OAuth2.0受權詳細步驟以下：

1. 用戶關注微信公衆帳號。
2. 微信公衆帳號提供用戶請求受權頁面URL。
3. 用戶點擊受權頁面URL，將向服務器發起請求
4. 服務器詢問用戶是否贊成受權給微信公衆帳號(scope爲snsapi_base時無此步驟)
5. 用戶贊成(scope爲snsapi_base時無此步驟)
6. 服務器將CODE經過回調傳給微信公衆帳號
7. 微信公衆帳號得到CODE
8. 微信公衆帳號經過CODE向服務器請求Access Token
9. 服務器返回Access Token和OpenID給微信公衆帳號
10. 微信公衆帳號經過Access Token向服務器請求用戶信息(scope爲snsapi_base時無此步驟)
11. 服務器將用戶信息回送給微信公衆帳號(scope爲snsapi_base時無此步驟)

若是用戶在微信中（Web微信除外）訪問公衆號的第三方網頁，公衆號開發者能夠經過此接口獲取當前用戶基本信息（包括暱稱、性別、城市、國家）。利用用戶信息，能夠實現體驗優化、用戶來源統計、賬號綁定、用戶身份鑑權等功能。請注意，「獲取用戶基本信息接口是在用戶和公衆號產生消息交互時，才能根據用戶OpenID獲取用戶基本信息，而網頁受權的方式獲取用戶基本信息，則無需消息交互，只是用戶進入到公衆號的網頁，就可彈出請求用戶受權的界面，用戶受權後，就可得到其基本信息（此過程甚至不須要用戶已經關注公衆號。）」

微信OAuth2.0受權登陸讓微信用戶使用微信身份安全登陸第三方應用或網站，在微信用戶受權登陸已接入微信OAuth2.0的第三方應用後，第三方能夠獲取到用戶的接口調用憑證（access_token），經過access_token能夠進行微信開放平臺受權關係接口調用，從而可實現獲取微信用戶基本開放信息和幫助用戶實現基礎開放功能等。

在微信公衆號請求用戶網頁受權以前，開發者須要先到公衆平臺網站的個人服務頁中配置受權回調域名。請注意，這裏填寫的域名不要加http://

關於配置受權回調域名的說明：

受權回調域名配置規範爲全域名，好比須要網頁受權的域名爲：www.qq.com，配置之後此域名下面的頁面http://www.qq.com/music.html 、 http://www.qq.com/login.html 均可以進行OAuth2.0鑑權。但http://pay.qq.com 、 http://music.qq.com 、 http://qq.com  沒法進行OAuth2.0鑑權。

具體而言，網頁受權流程分爲四步：

1. 引導用戶進入受權頁面贊成受權，獲取code

2. 經過code換取網頁受權access_token（與基礎支持中的access_token不一樣）

3. 若是須要，開發者能夠刷新網頁受權access_token，避免過時

4. 經過網頁受權access_token和openid獲取用戶基本信息

目錄 [隱藏] 1 第一步：用戶贊成受權，獲取code 2 第二步：經過code換取網頁受權access_token 3 第三步：刷新access_token（若是須要） 4 第四步：拉取用戶信息(需scope爲 snsapi_userinfo) 5 附：檢驗受權憑證（access_token）是否有效

第一步：用戶贊成受權，獲取code

在確保微信公衆帳號擁有受權做用域（scope參數）的權限的前提下（服務號得到高級接口後，默認帶有scope參數中的snsapi_base和snsapi_userinfo），引導關注者打開以下頁面：

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect 若提示「該連接沒法訪問」，請檢查參數是否填寫錯誤，是否擁有scope參數對應的受權做用域權限。

參考連接(請在微信客戶端中打開此連接體驗) Scope爲snsapi_base https://open.weixin.qq.com/connect/oauth2/authorize?appid=wx520c15f417810387&redirect_uri=http%3A%2F%2Fchong.qq.com%2Fphp%2Findex.php%3Fd%3D%26c%3DwxAdapter%26m%3DmobileDeal%26showwxpaytitle%3D1%26vb2ctag%3D4_2030_5_1194_60&response_type=code&scope=snsapi_base&state=123#wechat_redirect Scope爲snsapi_userinfo https://open.weixin.qq.com/connect/oauth2/authorize?appid=wxf0e81c3bee622d60&redirect_uri=http%3A%2F%2Fnba.bluewebgame.com%2Foauth_response.php&response_type=code&scope=snsapi_userinfo&state=STATE#wechat_redirect

參數說明

參數	是否必須	說明
appid	是	公衆號的惟一標識
redirect_uri	是	受權後重定向的回調連接地址，請使用urlencode對連接進行處理
response_type	是	返回類型，請填寫code
scope	是	應用受權做用域，snsapi_base （不彈出受權頁面，直接跳轉，只能獲取用戶openid），snsapi_userinfo （彈出受權頁面，可經過openid拿到暱稱、性別、所在地。而且，即便在未關注的狀況下，只要用戶受權，也能獲取其信息）
state	否	重定向後會帶上state參數，開發者能夠填寫a-zA-Z0-9的參數值
#wechat_redirect	是	不管直接打開仍是作頁面302重定向時候，必須帶此參數

下圖爲scope等於snsapi_userinfo時的受權頁面：

 

用戶贊成受權後

若是用戶贊成受權，頁面將跳轉至 redirect_uri/?code=CODE&state=STATE。若用戶禁止受權，則重定向後不會帶上code參數，僅會帶上state參數redirect_uri?state=STATE

code說明 ： code做爲換取access_token的票據，每次用戶受權帶上的code將不同，code只能使用一次，5分鐘未被使用自動過時。

第二步：經過code換取網頁受權access_token

首先請注意，這裏經過code換取的網頁受權access_token,與基礎支持中的access_token不一樣。公衆號可經過下述接口來獲取網頁受權access_token。若是網頁受權的做用域爲snsapi_base，則本步驟中獲取到網頁受權access_token的同時，也獲取到了openid，snsapi_base式的網頁受權流程即到此爲止。

請求方法

獲取code後，請求如下連接獲取access_token：  https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

參數說明

參數	是否必須	說明
appid	是	公衆號的惟一標識
secret	是	公衆號的appsecret
code	是	填寫第一步獲取的code參數
grant_type	是	填寫爲authorization_code

返回說明

正確時返回的JSON數據包以下：

{    "access_token":"ACCESS_TOKEN",    "expires_in":7200,    "refresh_token":"REFRESH_TOKEN",    "openid":"OPENID",    "scope":"SCOPE" }

參數	描述
access_token	網頁受權接口調用憑證,注意：此access_token與基礎支持的access_token不一樣
expires_in	access_token接口調用憑證超時時間，單位（秒）
refresh_token	用戶刷新access_token
openid	用戶惟一標識，請注意，在未關注公衆號時，用戶訪問公衆號的網頁，也會產生一個用戶和公衆號惟一的OpenID
scope	用戶受權的做用域，使用逗號（,）分隔

錯誤時微信會返回JSON數據包以下（示例爲Code無效錯誤）:

{"errcode":40029,"errmsg":"invalid code"}

全局返回碼說明

第三步：刷新access_token（若是須要）

因爲access_token擁有較短的有效期，當access_token超時後，可使用refresh_token進行刷新，refresh_token擁有較長的有效期（7天、30天、60天、90天），當refresh_token失效的後，須要用戶從新受權。

請求方法

獲取第二步的refresh_token後，請求如下連接獲取access_token：  https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

參數	是否必須	說明
appid	是	公衆號的惟一標識
grant_type	是	填寫爲refresh_token
refresh_token	是	填寫經過access_token獲取到的refresh_token參數

返回說明

正確時返回的JSON數據包以下：

{    "access_token":"ACCESS_TOKEN",    "expires_in":7200,    "refresh_token":"REFRESH_TOKEN",    "openid":"OPENID",    "scope":"SCOPE" }

參數	描述
access_token	網頁受權接口調用憑證,注意：此access_token與基礎支持的access_token不一樣
expires_in	access_token接口調用憑證超時時間，單位（秒）
refresh_token	用戶刷新access_token
openid	用戶惟一標識
scope	用戶受權的做用域，使用逗號（,）分隔

錯誤時微信會返回JSON數據包以下（示例爲Code無效錯誤）:

{"errcode":40029,"errmsg":"invalid code"}

全局返回碼說明

第四步：拉取用戶信息(需scope爲 snsapi_userinfo)

若是網頁受權做用域爲snsapi_userinfo，則此時開發者能夠經過access_token和openid拉取用戶信息了。

請求方法

http：GET（請使用https協議） https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

參數說明

參數	描述
access_token	網頁受權接口調用憑證,注意：此access_token與基礎支持的access_token不一樣
openid	用戶的惟一標識
lang	返回國家地區語言版本，zh_CN 簡體，zh_TW 繁體，en 英語

返回說明

正確時返回的JSON數據包以下：

{    "openid":" OPENID",    " nickname": NICKNAME,    "sex":"1",    "province":"PROVINCE"    "city":"CITY",    "country":"COUNTRY",     "headimgurl":    "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46",  "privilege":[ "PRIVILEGE1" "PRIVILEGE2"     ] }

參數	描述
openid	用戶的惟一標識
nickname	用戶暱稱
sex	用戶的性別，值爲1時是男性，值爲2時是女性，值爲0時是未知
province	用戶我的資料填寫的省份
city	普通用戶我的資料填寫的城市
country	國家，如中國爲CN
headimgurl	用戶頭像，最後一個數值表明正方形頭像大小（有0、4六、6四、9六、132數值可選，0表明640*640正方形頭像），用戶沒有頭像時該項爲空
privilege	用戶特權信息，json 數組，如微信沃卡用戶爲（chinaunicom）

錯誤時微信會返回JSON數據包以下（示例爲openid無效）:

{"errcode":40003,"errmsg":" invalid openid "}

全局返回碼說明

附：檢驗受權憑證（access_token）是否有效

請求方法

http：GET（請使用https協議） https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID

參數說明

參數	描述
access_token	網頁受權接口調用憑證,注意：此access_token與基礎支持的access_token不一樣
openid	用戶的惟一標識

返回說明

正確的Json返回結果：

{ "errcode":0,"errmsg":"ok"}

錯誤時的Json返回示例：

{ "errcode":40003,"errmsg":"invalid openid"}

 案例代碼：

請求受權頁面的構造方式

url在線編碼工具：http://tool.oschina.net/encode?type=4

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

---

前端代碼

---

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd";><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><meta name="viewport" content="width=device-width,height=device-height,inital-scale=1.0,maximum-scale=1.0,user-scalable=no;"><meta name="apple-mobile-web-app-capable" content="yes"><meta name="apple-mobile-web-app-status-bar-style" content="black"><meta name="format-detection" content="telephone=no"><title>會員註冊</title><script type="text/JavaScript" src="jQuery.js"></script>

 <script type="text/javascript"> 
  function callback(result) {  
        alert('cucess');         
  alert(result);  //輸出openid    
  } 
  
  function getQueryString(name) {  
   var reg = new RegExp("(^|&)" + name + "=([^&]*)(&|$)", "i");   
   var r = window.location.search.substr(1).match(reg);    
   if (r != null) return unescape(r[2]); return null;   
  }
  var code = getQueryString("code");
  
  $.ajax({ 
  async: false,       url: "http://atest.sinaapp.com/oauth2.php", //這是個人服務端處理文件PHP的     
  type: "GET",       //下面幾行是jsoup，若是去掉下面幾行的註釋，後端對應的返回結果也要去掉註釋      
  // dataType: 'jsonp',      
  // jsonp: 'callback', //jsonp的值自定義,若是使用jsoncallback,那麼服務器端,要返回一個jsoncallback的值對應的對象.       
  // jsonpCallback:'callback',      
  data: {code:code}, //傳遞本頁面獲取的code到後臺，以便後臺獲取openid      
  timeout: 5000,       
  success: function (result) { 
        callback(result);     
  },       
  error: function (jqXHR, textStatus, errorThrown) {
  alert(textStatus);       }   
  });
  
  </script>
  
  </head><body></body> 

---

後端代碼

---

<?php
$code = $_GET['code'];//前端傳來的code值
$appid = "wx468622291a1e99d6";
$appsecret = "98566dc38863aa4395fabebb0de6ecc1";//獲取openid
$url = "https://api.weixin.qq.com/sns/oauth2/access_token?appid=$appid&secret=$appsecret&code=$code&grant_type=authorization_code";
$result = https_request($url);
$jsoninfo = json_decode($result, true);
$openid = $jsoninfo["openid"];//從返回json結果中讀出openid
$access_token = $jsoninfo["access_token"];//從返回json結果中讀出openid
$callback=$_GET['callback'];  // echo $callback."({result:'".$openid."'})";

$url1 = "https://api.weixin.qq.com/sns/userinfo?access_token=$access_token&openid=$openid&lang=zh_CN";
$result1 = https_request($url1);
$jsoninfo1 = json_decode($result1, true);
$nickname=$jsoninfo1["nickname"];
echo $openid.":".$access_token.":".$nickname; //把openid 送回前端

 function https_request($url,$data = null){
  $curl = curl_init();   
  curl_setopt($curl, CURLOPT_URL, $url);   
  curl_setopt($curl, CURLOPT_SSL_VERIFYPEER, FALSE);   
  curl_setopt($curl, CURLOPT_SSL_VERIFYHOST, FALSE);    
  if (!empty($data)){    
  curl_setopt($curl, CURLOPT_POST, 1);  
  curl_setopt($curl, CURLOPT_POSTFIELDS, $data);   
  }    
  curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1); 
  $output = curl_exec($curl);    
  curl_close($curl);    
  return $output;
 }

?>