轉載：微信開放平臺開發第三方受權登錄（二）：PC網頁端

參數	必須	說明
appid	是	應用惟一標識
redirect_uri	是	請使用urlEncode對連接進行處理
response_type	是	填code
scope	是	應用受權做用域，擁有多個做用域用逗號（,）分隔，網頁應用目前僅填寫snsapi_login便可
state	否	用於保持請求和回調的狀態，受權請求後原樣帶回給第三方。該參數可用於防止csrf攻擊（跨站請求僞造攻擊），建議第三方帶上該參數，可設置爲簡單的隨機數加session進行校驗

注意：若提示「該連接沒法訪問」，請檢查參數是否填寫錯誤，如redirect_uri的域名與審覈時填寫的受權域名不一致或scope不爲snsapi_login。

@RequestMapping("/login")
public String openWeChatLogin(HttpServletRequest httpServletRequest) {
// 防止csrf攻擊（跨站請求僞造攻擊）
String state = UUID.randomUUID().toString().replaceAll( "-", "");
// 採用redis等進行緩存state 使用sessionId爲key 30分鐘後過時，可配置
RedisPoolUtil.setEx( "wechat-open-state-" + httpServletRequest.getSession().getId(), state, Integer.parseInt(env.getProperty("wechat.open.exTime", "1800")));
String url = "https://open.weixin.qq.com/connect/qrconnect?" +
"appid=" +
env.getProperty( "wechat.open.pc.appid").trim() +
"&redirect_uri=" +
env.getProperty( "application.url") +
env.getProperty( "wechat.open.pc.redirect_uri").trim() +
"&response_type=code" +
"&scope=snsapi_login" +
"&state=" +
state + // 由後臺自動生成
"#wechat_redirect";
return "redirect:" + url;
}

2）用戶贊成受權與否

用戶容許受權後，將會重定向到redirect_uri的網址上，而且帶上code和state參數

redirect_uri?code=CODE&state=STATE

若用戶禁止受權，則不會重定向到咱們提供的回調地址中

成功受權後，將得到Code，經過Code能夠獲取access_token

3）獲取access_token

經過上述方法獲取的code獲取access_token.

Http Get請求

https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

參數說明：

參數	是否必須	說明
appid	是	應用惟一標識，在微信開放平臺提交應用審覈經過後得到
secret	是	應用密鑰AppSecret，在微信開放平臺提交應用審覈經過後得到
code	是	填寫獲取的code參數
grant_type	是	填authorization_code

請求後，

返回成功的json串爲（樣例）：

{
"access_token":"ACCESS_TOKEN",        // 接口調用憑證
"expires_in":7200,                      // access_token接口調用憑證超時時間，單位（秒）
"refresh_token":"REFRESH_TOKEN",       //用戶刷新access_token
"openid":"OPENID",                                 //受權用戶惟一標識
"scope":"SCOPE",                                     //用戶受權的做用域，使用逗號（,）分隔
"unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL" //當且僅當該網站應用已得到該用戶的userinfo受權時，纔會出現該字段
}

失敗返回的樣例：

{"errcode":40029,"errmsg":"invalid code"}

失敗可能緣由：暫時不明

@RequestMapping( "/callback/pc")
public String openWeChatCallback(HttpServletRequest httpServletRequest, Model model) {
String code = httpServletRequest.getParameter("code");
String state = httpServletRequest.getParameter("state");
String url = null;
// 判斷state是否合法
String stateStr = RedisPoolUtil.get("wechat-open-state-" + httpServletRequest.getSession().getId());
if (StringUtils.isEmpty(code) || StringUtils.isEmpty(stateStr) || !state.equals(stateStr)) {
throw new WechatParamException("非法參數，請從新登錄", "/");
}
url = "https://api.weixin.qq.com/sns/oauth2/access_token?" +
"appid=" +
env.getProperty( "wechat.open.pc.appid").trim() +
"&secret=" +
env.getProperty( "wechat.open.pc.appsecret").trim() +
"&code=" +
code +
"&grant_type=authorization_code";
JSONObject wechatAccessToken = HttpClientUtils.httpGet(url);
if (wechatAccessToken.get("errcode") != null) {
throw new WechatParamException("獲取accessToken失敗", "/wechat/open/login");
}
String accessToken = (String) wechatAccessToken.get("access_token");
String openid = (String) wechatAccessToken.get("openid");
String unionid = (String) wechatAccessToken.get("unionid");
if (StringUtils.isEmpty(accessToken) || StringUtils.isEmpty(openid) || StringUtils.isEmpty(unionid)) {
throw new WechatParamException("獲取accessToken失敗", "/wechat/open/login");
}
// TODO：根據Openid或Unionid對數據庫進行查詢，若是查詢到對應的用戶數據，則不須要再向微信服務器發送請求去返回數據。
// TODO: 建議使用Unionid做爲查詢條件。
WeChatUserInfo weChatUserInfo = null;
wechatAccessToken = null; // FIXME: 這裏應該是從數據庫中查詢獲取用戶信息邏輯。
if (wechatAccessToken == null) {
// 新用戶
weChatUserInfo = getUserInfoByAccessToken(accessToken);
// 數據庫插入的操做
}
if (weChatUserInfo != null) {
model.addAttribute(weChatUserInfo);
return "wechatUser";
}
throw new WechatParamException("獲取用戶信息失敗", "/wechat/open/login");
}

4)經過access_token調用接口獲取用戶我的信息（UnionID機制）

前提：

1. access_token有效且未超時；

2. 微信用戶已受權給第三方應用賬號相應接口做用域（scope）。

Http Get請求：

https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID

參數	是否必須	說明
access_token	是	調用憑證
openid	是	普通用戶的標識，對當前開發者賬號惟一
lang	否	國家地區語言版本，zh_CN 簡體，zh_TW 繁體，en 英語，默認爲zh-CN

返回成功的json結果（樣例）：

{
"openid":"OPENID",        //普通用戶的標識，對當前開發者賬號惟一
"nickname":"NICKNAME",   //普通用戶暱稱
"sex":1,                                //普通用戶性別，1爲男性，2爲女性
"province":"PROVINCE",      //普通用戶我的資料填寫的省份
"city":"CITY",                        //普通用戶我的資料填寫的城市
"country":"COUNTRY",         //國家，如中國爲CN
"headimgurl": "http://wx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/0",       //用戶頭像，最後一個數值表明正方形頭像大小（有0、4六、6四、9六、132數值可選，0表明640*640正方形頭像），用戶沒有頭像時該項爲空
"privilege":[   //用戶特權信息，json數組，如微信沃卡用戶爲（chinaunicom）
"PRIVILEGE1",
"PRIVILEGE2"
],
"unionid": " o6_bmasdasdsad6_2sgVt7hMZOPfL"   //用戶統一標識。針對一個微信開放平臺賬號下的應用，同一用戶的unionid是惟一的
}

失敗JSON樣例：

{"errcode":40003,"errmsg":"invalid openid"}

注意：在用戶修改微信頭像後，舊的微信頭像URL將會失效，所以開發者應該本身在獲取用戶信息後，將頭像圖片保存下來，避免微信頭像URL失效後的異常狀況

最好保存用戶unionID信息，以便之後在不一樣應用中進行用戶信息互通。

private WeChatUserInfo getUserInfoByAccessToken( String accessToken) {
if (StringUtils.isEmpty(accessToken)) {
return null; //"accessToken爲空";
}
String get_userInfo_url = null;
get_userInfo_url = "https://api.weixin.qq.com/sns/userinfo?" +
"access_token=" +
accessToken +
"&openid=" +
env.getProperty( "wechat.open.pc.appid").trim();
String userInfo_result = HttpClientUtils.httpGet(get_userInfo_url, "utf-8");
if (!userInfo_result.equals("errcode")) {
WeChatUserInfo weChatUserInfo = JSON.parseObject(userInfo_result, new TypeReference<WeChatUserInfo>() {
});
// TODO: 須要把頭像信息下載到文件服務器，而後替換掉頭像URL。微信的或許不可靠，假設微信用戶更換了頭像，舊頭像URL是否會保存？而這個URL信息卻存放在咱們的數據庫中，不可靠
return weChatUserInfo;
}
return null; //"獲取用戶信息失敗"
}

5)刷新access_token

因爲access_token有效期（目前爲2個小時）較短，當access_token超時後，可使用refresh_token進行刷新，access_token刷新結果有兩種：

1. 若access_token已超時，那麼進行refresh_token會獲取一個新的access_token，新的超時時間；
2. 若access_token未超時，那麼進行refresh_token不會改變access_token，但超時時間會刷新，至關於續期access_token。

refresh_token擁有較長的有效期（30天），當refresh_token失效的後，須要用戶從新受權。

請求方法：

獲取第一步的code後，請求如下連接進行refresh_token：

https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

參數說明：

參數	是否必須	說明
appid	是	應用惟一標識
grant_type	是	填refresh_token
refresh_token	是	填寫經過access_token獲取到的refresh_token參數

成功返回的結果：

{
"access_token":"ACCESS_TOKEN",    //接口調用憑證
"expires_in":7200,                             // access_token接口調用憑證超時時間，單位（秒）
"refresh_token":"REFRESH_TOKEN", //用戶刷新access_token
"openid":"OPENID",                          //受權用戶惟一標識
"scope":"SCOPE"                              //用戶受權的做用域，使用逗號（,）分隔
}

失敗樣例：

{"errcode":40030,"errmsg":"invalid refresh_token"}

注意：

一、Appsecret 是應用接口使用密鑰，泄漏後將可能致使應用數據泄漏、應用的用戶數據泄漏等高風險後果；存儲在客戶端，極有可能被惡意竊取（如反編譯獲取Appsecret）；
二、access_token 爲用戶受權第三方應用發起接口調用的憑證（至關於用戶登陸態），存儲在客戶端，可能出現惡意獲取access_token 後致使的用戶數據泄漏、用戶微信相關接口功能被惡意發起等行爲；
三、refresh_token 爲用戶受權第三方應用的長效憑證，僅用於刷新access_token，但泄漏後至關於access_token 泄漏，風險同上。

建議將secret、用戶數據（如access_token）放在App雲端服務器，由雲端中轉接口調用請求。