小程序登錄與授權(quán)區(qū)別

微信應(yīng)用的一個(gè)很大的優(yōu)勢(shì)就在于使用過(guò)程中是不需要進(jìn)行注冊(cè)和顯式登錄的，大部分問(wèn)題基本上可以一鍵解決。但是在授權(quán)、登錄和獲取用戶信息的過(guò)程中都發(fā)生了哪些事情，今天我們就來(lái)討論一下。這篇文章主要分析小程序登錄與授權(quán)區(qū)別：

1授權(quán)和登錄的區(qū)別

首先必須要明白，授權(quán)和登錄實(shí)際上是兩個(gè)操作。

1.1 授權(quán)(已廢棄)

那授權(quán)的作用是啥呢?從小程序官方文檔中我們可以看到授權(quán)操作只需通過(guò)wx.authorize() 接口便可以完成，以下是文檔中對(duì)授權(quán)操作的描述：

提前向用戶發(fā)起授權(quán)請(qǐng)求。調(diào)用后會(huì)立刻彈窗詢問(wèn)用戶是否同意授權(quán)小程序使用某項(xiàng)功能或獲取用戶的某些數(shù)據(jù)，但不會(huì)實(shí)際調(diào)用對(duì)應(yīng)接口。如果用戶之前已經(jīng)同意授權(quán)，則不會(huì)出現(xiàn)彈窗，直接返回成功。

也就是說(shuō)，授權(quán)過(guò)程實(shí)際上只是在小程序前端獲得了操作部分wx 接口的訪問(wèn)許可，這個(gè)過(guò)程實(shí)際上是不會(huì)與開(kāi)發(fā)者服務(wù)器發(fā)生任何關(guān)系的。那這些訪問(wèn)許可包含哪些內(nèi)容呢?再來(lái)看微信官方提供的scope 列表：

注：新版api已廢棄wx.authorize()，具體信息查看https://developers.weixin.qq.com/miniprogram/dev/api/open.html

1.2 登錄

所謂的登錄就是要讓開(kāi)發(fā)者服務(wù)器知道當(dāng)前的用戶是誰(shuí)?在傳統(tǒng)的web 應(yīng)用中，我們必須要讓用戶輸入賬號(hào)和密碼才能實(shí)現(xiàn)登錄操作。但是在微信應(yīng)用中，我們可以通過(guò)微信服務(wù)器來(lái)完成這個(gè)操作，獲取到與當(dāng)前用戶對(duì)應(yīng)的唯一標(biāo)志(openId)，具體操作實(shí)現(xiàn)流程如下：

注：每個(gè)用戶相對(duì)于每個(gè)微信應(yīng)用(公眾號(hào)或者小程序)的openId 是唯一的，也就是說(shuō)一個(gè)用戶相對(duì)于不同的微信應(yīng)用會(huì)存在不同的openId

從上圖中，我們可以看出，小程序中登錄步驟如下：

① 小程序前端使用wx.login() 從微信服務(wù)器獲取code

② 小程序前端將code 發(fā)送給開(kāi)發(fā)者服務(wù)器，開(kāi)發(fā)者服務(wù)器利用appId、appSecret 和code 向微信服務(wù)器換換取用戶openId 和session_key

③ 開(kāi)發(fā)者服務(wù)器自定義登錄態(tài)并將其與openId 和session_key 關(guān)聯(lián)起來(lái)然后寫session

④ 開(kāi)發(fā)者服務(wù)器將登錄態(tài)返回給小程序前端，小程序前端使用wx.setStorageSync() 將登錄態(tài)保存起來(lái)

⑤ 小程序前端在執(zhí)行業(yè)務(wù)請(qǐng)求時(shí)將登錄態(tài)發(fā)送給開(kāi)發(fā)者服務(wù)器，以便開(kāi)發(fā)者服務(wù)器知道當(dāng)前操作的用戶是哪位。

也就是說(shuō)，在整個(gè)過(guò)程中小程序前端是拿不到用戶openId 的，它只能通過(guò)開(kāi)發(fā)者服務(wù)器發(fā)給它的登錄態(tài)來(lái)告訴服務(wù)器當(dāng)前用戶的信息。登錄過(guò)程中涉及session_key 和unionId，于是又引出了下面的問(wèn)題。

2在應(yīng)用中如何保存用戶登錄態(tài)

保存用戶登錄態(tài)，一直以來(lái)都有兩種解決方案：前端保存和后端保存。

4.1 后端保存

在1.2 步驟③ 中寫session 的時(shí)候可以直接設(shè)定過(guò)期時(shí)間，定期通知小程序前端重新進(jìn)行登錄(wx.login)。

4.2 前端保存

因?yàn)閟ession_key 存在時(shí)效性問(wèn)題(畢竟是用來(lái)查看敏感信息)，而小程序前端可以通過(guò)wx.checkSession() 來(lái)檢查session_key 是否過(guò)期。所以可以通過(guò)這個(gè)來(lái)作為保存用戶登錄態(tài)的機(jī)制，這也是小程序文檔中推薦的方法：