移動應用微信登陸開發指南

https://open.weixin.qq.com/cgi-bin/showdocument?action=dir_list&t=resource/res_list&verify=1&id=open1419317851&token=&lang=zh_CN

準備工做

移動應用微信登陸是基於OAuth2.0協議標準 構建的微信OAuth2.0受權登陸系統。

在進行微信OAuth2.0受權登陸接入以前，在微信開放平臺註冊開發者賬號，並擁有一個已審覈經過的移動應用，並得到相應的AppID和AppSecret，申請微信登陸且經過審覈後，可開始接入流程。

一、目前移動應用上微信登陸只提供原生的登陸方式，須要用戶安裝微信客戶端才能配合使用。

二、對於Android應用，建議老是顯示微信登陸按鈕，當用戶手機沒有安裝微信客戶端時，請引導用戶下載安裝微信客戶端。

三、對於iOS應用，考慮到iOS應用商店審覈指南中的相關規定，建議開發者接入微信登陸時，先檢測用戶手機是否已安裝微信客戶端（使用sdk中isWXAppInstalled函數 ），對未安裝的用戶隱藏微信登陸按鈕，只提供其餘登陸方式（好比手機號註冊登陸、遊客登陸等）。

受權流程說明

微信OAuth2.0受權登陸讓微信用戶使用微信身份安全登陸第三方應用或網站，在微信用戶受權登陸已接入微信OAuth2.0的第三方應用後，第三方能夠獲取到用戶的接口調用憑證（access_token），經過access_token能夠進行微信開放平臺受權關係接口調用，從而可實現獲取微信用戶基本開放信息和幫助用戶實現基礎開放功能等。

微信OAuth2.0受權登陸目前支持authorization_code模式，適用於擁有server端的應用受權。該模式總體流程爲：

1. 第三方發起微信受權登陸請求，微信用戶容許受權第三方應用後，微信會拉起應用或重定向到第三方網站，而且帶上受權臨時票據code參數；

2. 經過code參數加上AppID和AppSecret等，經過API換取access_token；

3. 經過access_token進行接口調用，獲取用戶基本數據資源或幫助用戶實現基本操做。

獲取access_token時序圖：

第一步：請求CODE

移動應用微信受權登陸

開發者須要配合使用微信開放平臺提供的SDK進行受權登陸請求接入。正確接入SDK後並擁有相關受權域（scope，什麼是受權域？）權限後，開發者移動應用會在終端本地拉起微信應用進行受權登陸，微信用戶確認後微信將拉起開發者移動應用，並帶上受權臨時票據（code）。

iOS平臺應用受權登陸接入代碼示例（請參考iOS接入指南）：

-(void)sendAuthRequest
{
    //構造SendAuthReq結構體
    SendAuthReq* req =[[[SendAuthReq alloc]init]autorelease];
    req.scope = @"snsapi_userinfo";
    req.state = @"123";
    //第三方向微信終端發送一個SendAuthReq消息結構
    [WXApi sendReq:req];
}

Android平臺應用受權登陸接入代碼示例（請參考Android接入指南）：

{
    // send oauth request
    Final SendAuth.Req req = new SendAuth.Req();
    req.scope = "snsapi_userinfo";
    req.state = "wechat_sdk_demo_test";
    api.sendReq(req);
}

參數說明

參數	是否必須	說明
appid	是	應用惟一標識，在微信開放平臺提交應用審覈經過後得到
scope	是	應用受權做用域，如獲取用戶我的信息則填寫snsapi_userinfo（ 什麼是受權域？ ）
state	否	用於保持請求和回調的狀態，受權請求後原樣帶回給第三方。該參數可用於防止csrf攻擊（跨站請求僞造攻擊），建議第三方帶上該參數，可設置爲簡單的隨機數加session進行校驗

返回示例：

appid: wxd477edab60670232
scope: snsapi_userinfo
state: wechat_sdk_demo

可拉起微信打開受權登陸頁：

返回說明

用戶點擊受權後，微信客戶端會被拉起，跳轉至受權界面，用戶在該界面點擊容許或取消，SDK經過SendAuth的Resp返回數據給調用方。

返回值	說明
ErrCode	ERR_OK = 0(用戶贊成) ERR_AUTH_DENIED = -4（用戶拒絕受權） ERR_USER_CANCEL = -2（用戶取消）
code	用戶換取access_token的code，僅在ErrCode爲0時有效
state	第三方程序發送時用來標識其請求的惟一性的標誌，由第三方程序調用sendReq時傳入，由微信終端回傳，state字符串長度不能超過1K
lang	微信客戶端當前語言
country	微信用戶當前國家信息

第二步：經過code獲取access_token

獲取第一步的code後，請求如下連接獲取access_token：

https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

參數說明

參數	是否必須	說明
appid	是	應用惟一標識，在微信開放平臺提交應用審覈經過後得到
secret	是	應用密鑰AppSecret，在微信開放平臺提交應用審覈經過後得到
code	是	填寫第一步獲取的code參數
grant_type	是	填authorization_code

返回說明

正確的返回：

{ 
"access_token":"ACCESS_TOKEN", 
"expires_in":7200, 
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID", 
"scope":"SCOPE",
"unionid":"o6_bmasdasdsad6_2sgVt7hMZOPfL"
}

參數	說明
access_token	接口調用憑證
expires_in	access_token接口調用憑證超時時間，單位（秒）
refresh_token	用戶刷新access_token
openid	受權用戶惟一標識
scope	用戶受權的做用域，使用逗號（,）分隔
unionid	當且僅當該移動應用已得到該用戶的userinfo受權時，纔會出現該字段

錯誤返回樣例：

{"errcode":40029,"errmsg":"invalid code"}

刷新access_token有效期

access_token是調用受權關係接口的調用憑證，因爲access_token有效期（目前爲2個小時）較短，當access_token超時後，可使用refresh_token進行刷新，access_token刷新結果有兩種：

1. 若access_token已超時，那麼進行refresh_token會獲取一個新的access_token，新的超時時間；
2. 若access_token未超時，那麼進行refresh_token不會改變access_token，但超時時間會刷新，至關於續期access_token。

refresh_token擁有較長的有效期（30天），當refresh_token失效的後，須要用戶從新受權。

請求方法

獲取第一步的code後，請求如下連接進行refresh_token：

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

參數說明

參數	是否必須	說明
appid	是	應用惟一標識
grant_type	是	填refresh_token
refresh_token	是	填寫經過access_token獲取到的refresh_token參數

返回說明

正確的返回：

{
"access_token":"ACCESS_TOKEN",
"expires_in":7200,
"refresh_token":"REFRESH_TOKEN",
"openid":"OPENID",
"scope":"SCOPE"
}

參數	說明
access_token	接口調用憑證
expires_in	access_token接口調用憑證超時時間，單位（秒）
refresh_token	用戶刷新access_token
openid	受權用戶惟一標識
scope	用戶受權的做用域，使用逗號（,）分隔

錯誤返回樣例：

{"errcode":40030,"errmsg":"invalid refresh_token"}

注意：

一、Appsecret 是應用接口使用密鑰，泄漏後將可能致使應用數據泄漏、應用的用戶數據泄漏等高風險後果；存儲在客戶端，極有可能被惡意竊取（如反編譯獲取Appsecret）；
二、access_token 爲用戶受權第三方應用發起接口調用的憑證（至關於用戶登陸態），存儲在客戶端，可能出現惡意獲取access_token 後致使的用戶數據泄漏、用戶微信相關接口功能被惡意發起等行爲；
三、refresh_token 爲用戶受權第三方應用的長效憑證，僅用於刷新access_token，但泄漏後至關於access_token 泄漏，風險同上。

建議將Appsecret、用戶數據（如access_token）放在App雲端服務器，由雲端中轉接口調用請求。

第三步：經過access_token調用接口

獲取access_token後，進行接口調用，有如下前提：

1. access_token有效且未超時；
2. 微信用戶已受權給第三方應用賬號相應接口做用域（scope）。

對於接口做用域（scope），能調用的接口有如下：

受權做用域（scope）	接口	接口說明
snsapi_base	/sns/oauth2/access_token	經過code換取access_token、refresh_token和已受權scope
/sns/oauth2/refresh_token	刷新或續期access_token使用
/sns/auth	檢查access_token有效性
snsapi_userinfo	/sns/userinfo	獲取用戶我的信息

其中snsapi_base屬於基礎接口，若應用已擁有其它scope權限，則默認擁有snsapi_base的權限。使用snsapi_base可讓移動端網頁受權繞過跳轉受權登陸頁請求用戶受權的動做，直接跳轉第三方網頁帶上受權臨時票據（code），但會使得用戶已受權做用域（scope）僅爲snsapi_base，從而致使沒法獲取到須要用戶受權才容許得到的數據和基礎功能。

接口調用方法可查閱《微信受權關係接口調用指南》

F.A.Q

1. 什麼是受權臨時票據（code）？

答：第三方經過code進行獲取access_token的時候須要用到，code的超時時間爲10分鐘，一個code只能成功換取一次access_token即失效。code的臨時性和一次保障了微信受權登陸的安全性。第三方可經過使用https和state參數，進一步增強自身受權登陸的安全性。

2. 什麼是受權做用域（scope）？

答：受權做用域（scope）表明用戶受權給第三方的接口權限，第三方應用須要向微信開放平臺申請使用相應scope的權限後，使用文檔所述方式讓用戶進行受權，通過用戶受權，獲取到相應access_token後方可對接口進行調用。

3.開放平臺移動應用微信登陸目前是否收費？

答：「微信登陸」和第三方網站共享微信龐大的用戶價值，同時爲微信用戶提供更便捷服務和更優質內容，實現雙向雙贏，目前不收取任何費用。