微信扫码授权到登录网页,中间究竟发生了什么?_微信扫码授权登录-程序员宅基地
关于我昨天突然接到神秘“面试”:微信扫码授权登录的实现逻辑是神魔?在这个扫码授权的过程中客户端、服务端、微信平台都做了些神魔?二维码里面又有哪些信息?
从手机微信扫一扫二维码到登录个人的知乎账户,中间究竟发生了什么,是怎么做到的呢?
在了解它底层具体怎么实现之前,我们可以先去了解怎么去实现这个微信授权登录,如何给自己的网站加上微信授权登录?
微信开放平台申请
- 登录微信开放平台,申请开发的账号
- 来到网站应用页面创建网站应用:
- 在此处填好信息以及回调的域名,具体回调域名要写什么在后面会有讲解,在通过申请后可以拿到
APPID和APPSECRET - 进行开发者的资质认证,需要缴纳三伯块 o.0:
获取网页的二维码
做完上面的事情之后,我们就拿到了三个属性:
APPID、APPSECRET、回调域名,接下来我们就可以获取网页的二维码了
这个二维码是微信生成的,我们只需要按下面的格式键入正确的地址和参数就可以获取:
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
该请求所需要配置的参数列表为:
| 参数 | 是否必须 | 说明 |
|---|---|---|
| appid | 是 | 应用的唯一表示,在上面的申请中拿到了 |
| redirect_uri | 是 | 回调的域名,也就是上面填的哪个域名 |
| response_type | 是 | code,此处就是一个占位符,后续会使用它进行授权获取access_token和openId |
| scope | 是 | 网页授权填写:snsapi_login,表示应用授权的作用域 |
| state | 否 | 用于防止CSRF攻击(跨站请求伪造攻击) |
我们以知乎的举例,可以拿到知乎的登陆的二维码的URL为:
复制代码
https://open.weixin.qq.com/connect/qrconnect? appid=wx268fcfe924dcb171& redirect_uri=https://www.zhihu.com/oauth/callback/wechat?action=login&from=&& response_type=code& scope=snsapi_login#wechat看上面的URL我们可以得出它的参数列表为:
APPID:wx268fcfe924dcb171Redirect_uri:www.zhihu.com/oauth/callb…response_type:codescope:snsapi_loginstate:由于是不一定要填写的,此处并没有state这个参数
轮询请求检查状态
通过上面那个地址我们可以来到知乎的微信二维码授权登录页面,打开控制台,我们就可以发现有一个请求一直在进行轮询,每15s进行一次轮询:
我们具体来分析一下这个轮询的方法,可以看到这个轮询的方法里面有两个参数:
uuid:我认为是进行标识机器的一个ID,每一个二维码都对应一个唯一的UUID,因为每一次的二维码都是不一样的,这样我们就可以在微信扫描之后,知道微信与哪一台机器进行绑定,进而在授权之后进行一个重定向-:计数器,上述的十来个请求,它的计数器会依次加一
如果我们长期不扫码,它就会一直轮询请求,在过去一定时间后会刷新二维码,如果不扫码,它返回的结果就一直为:window.wx_errcode = 408;window.wx_code = ''
微信扫一扫
1.扫码成功
在我们进行扫码之后,页面会变为:
此时进行轮询的接口的查看响应,可以发现是window.ex_errcode = 404; window.wx_code = '',也就是说由最开始的状态码408转为404
2.授权失败
手机上的页面为,在扫码成功后,就会调起微信OAuth2.0,请求微信授权登录
如果拒绝授权,返回的状态码就为:window.ex_errcode = 403; window.wx_code = '',页面跳转到
3.授权成功
而我们如果授权,此时返回回来的数据就是:
window.wx_errcode=405;window.wx_code='061xgj000c2DHP1dpk400y062z2xgj00';
- 此时微信SDK判断到返回的
code为405,并且code不为空 - 就会拿到code然后重定向我们之前配置的回调的域名
- 重定向的好处就是,请求是浏览器发出的,而不是远程调用的,这样我们就知道这个code是对应的哪一个浏览器,也就是有了微信授权信息和浏览器的对应,如果要进行
cookie的设置也可以:
带上我们的code,此时就可以在后台的程序中通过代码,完成以下步骤:
- 通过
APPID APPSECRET CODE获取用户的access_token openid - 通过
access_token openid获取用户的个人信息
3.1 Gitee实现方案
这里我看Gitee的方案是,在请求到这个接口后,在cookie中存入个人信息,并重定向回网页(后台进行重定向):
重定向回了https://gitee.com/dashboard,因为cookie中有了个人信息了,所以就能登录成功
3.2 知乎实现方案
而知乎的做法是返回一段前端代码,然后调用了一个登录的接口,进而重定向到主页:
总结
至此,从微信扫码授权登录到网页获得授权信息成功登陆的具体流程就讲完了,大概的过程就是:
- 在微信开放平台进行配置和申请,获得
APPID APPSECRET,配置好自己的回调URI - 根据拿到的数据,配上指定的参数得到二维码的
URL - 微信SDK在二维码页面进行15s一次轮询检测,对于不同的状态有不同的状态码:
- 如果没有扫码:状态码为408,且code为空
- 如果扫码既不接受也不拒绝授权:状态码为404,且code为空
- 如果扫码但是拒绝授权:状态码为403,且code为空
- 如果扫码并且同意授权:状态码为405,返回一个code
- 微信SDK检测到状态码和code后,进行对之前配置的回调
URI的重定向,带上code - 这个时候就来到了服务端,也就是后台,后台根据
code依次获取access_token openid和个人信息 - 如果参照Gitee的做法,就可以直接把身份信息存入Cookie,然后重定向到主页,至此,登录结束
智能推荐
什么是内部类?成员内部类、静态内部类、局部内部类和匿名内部类的区别及作用?_成员内部类和局部内部类的区别-程序员宅基地
文章浏览阅读3.4k次,点赞8次,收藏42次。一、什么是内部类?or 内部类的概念内部类是定义在另一个类中的类;下面类TestB是类TestA的内部类。即内部类对象引用了实例化该内部对象的外围类对象。public class TestA{ class TestB {}}二、 为什么需要内部类?or 内部类有什么作用?1、 内部类方法可以访问该类定义所在的作用域中的数据,包括私有数据。2、内部类可以对同一个包中的其他类隐藏起来。3、 当想要定义一个回调函数且不想编写大量代码时,使用匿名内部类比较便捷。三、 内部类的分类成员内部_成员内部类和局部内部类的区别
分布式系统_分布式系统运维工具-程序员宅基地
文章浏览阅读118次。分布式系统要求拆分分布式思想的实质搭配要求分布式系统要求按照某些特定的规则将项目进行拆分。如果将一个项目的所有模板功能都写到一起,当某个模块出现问题时将直接导致整个服务器出现问题。拆分按照业务拆分为不同的服务器,有效的降低系统架构的耦合性在业务拆分的基础上可按照代码层级进行拆分(view、controller、service、pojo)分布式思想的实质分布式思想的实质是为了系统的..._分布式系统运维工具
用Exce分析l数据极简入门_exce l趋势分析数据量-程序员宅基地
文章浏览阅读174次。1.数据源准备2.数据处理step1:数据表处理应用函数:①VLOOKUP函数; ② CONCATENATE函数终表:step2:数据透视表统计分析(1) 透视表汇总不同渠道用户数, 金额(2)透视表汇总不同日期购买用户数,金额(3)透视表汇总不同用户购买订单数,金额step3:讲第二步结果可视化, 比如, 柱形图(1)不同渠道用户数, 金额(2)不同日期..._exce l趋势分析数据量
宁盾堡垒机双因素认证方案_horizon宁盾双因素配置-程序员宅基地
文章浏览阅读3.3k次。堡垒机可以为企业实现服务器、网络设备、数据库、安全设备等的集中管控和安全可靠运行,帮助IT运维人员提高工作效率。通俗来说,就是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源)。由于堡垒机内部保存着企业所有的设备资产和权限关系,是企业内部信息安全的重要一环。但目前出现的以下问题产生了很大安全隐患:密码设置过于简单,容易被暴力破解;为方便记忆,设置统一的密码,一旦单点被破,极易引发全面危机。在单一的静态密码验证机制下,登录密码是堡垒机安全的唯一_horizon宁盾双因素配置
谷歌浏览器安装(Win、Linux、离线安装)_chrome linux debian离线安装依赖-程序员宅基地
文章浏览阅读7.7k次,点赞4次,收藏16次。Chrome作为一款挺不错的浏览器,其有着诸多的优良特性,并且支持跨平台。其支持(Windows、Linux、Mac OS X、BSD、Android),在绝大多数情况下,其的安装都很简单,但有时会由于网络原因,无法安装,所以在这里总结下Chrome的安装。Windows下的安装:在线安装:离线安装:Linux下的安装:在线安装:离线安装:..._chrome linux debian离线安装依赖
烤仔TVの尚书房 | 逃离北上广?不如押宝越南“北上广”-程序员宅基地
文章浏览阅读153次。中国发达城市榜单每天都在刷新,但无非是北上广轮流坐庄。北京拥有最顶尖的文化资源,上海是“摩登”的国际化大都市,广州是活力四射的千年商都。GDP和发展潜力是衡量城市的数字指...
随便推点
java spark的使用和配置_使用java调用spark注册进去的程序-程序员宅基地
文章浏览阅读3.3k次。前言spark在java使用比较少,多是scala的用法,我这里介绍一下我在项目中使用的代码配置详细算法的使用请点击我主页列表查看版本jar版本说明spark3.0.1scala2.12这个版本注意和spark版本对应,只是为了引jar包springboot版本2.3.2.RELEASEmaven<!-- spark --> <dependency> <gro_使用java调用spark注册进去的程序
汽车零部件开发工具巨头V公司全套bootloader中UDS协议栈源代码,自己完成底层外设驱动开发后,集成即可使用_uds协议栈 源代码-程序员宅基地
文章浏览阅读4.8k次。汽车零部件开发工具巨头V公司全套bootloader中UDS协议栈源代码,自己完成底层外设驱动开发后,集成即可使用,代码精简高效,大厂出品有量产保证。:139800617636213023darcy169_uds协议栈 源代码
AUTOSAR基础篇之OS(下)_autosar 定义了 5 种多核支持类型-程序员宅基地
文章浏览阅读4.6k次,点赞20次,收藏148次。AUTOSAR基础篇之OS(下)前言首先,请问大家几个小小的问题,你清楚:你知道多核OS在什么场景下使用吗?多核系统OS又是如何协同启动或者关闭的呢?AUTOSAR OS存在哪些功能安全等方面的要求呢?多核OS之间的启动关闭与单核相比又存在哪些异同呢?。。。。。。今天,我们来一起探索并回答这些问题。为了便于大家理解,以下是本文的主题大纲:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JCXrdI0k-1636287756923)(https://gite_autosar 定义了 5 种多核支持类型
VS报错无法打开自己写的头文件_vs2013打不开自己定义的头文件-程序员宅基地
文章浏览阅读2.2k次,点赞6次,收藏14次。原因:自己写的头文件没有被加入到方案的包含目录中去,无法被检索到,也就无法打开。将自己写的头文件都放入header files。然后在VS界面上,右键方案名,点击属性。将自己头文件夹的目录添加进去。_vs2013打不开自己定义的头文件
【Redis】Redis基础命令集详解_redis命令-程序员宅基地
文章浏览阅读3.3w次,点赞80次,收藏342次。此时,可以将系统中所有用户的 Session 数据全部保存到 Redis 中,用户在提交新的请求后,系统先从Redis 中查找相应的Session 数据,如果存在,则再进行相关操作,否则跳转到登录页面。此时,可以将系统中所有用户的 Session 数据全部保存到 Redis 中,用户在提交新的请求后,系统先从Redis 中查找相应的Session 数据,如果存在,则再进行相关操作,否则跳转到登录页面。当数据量很大时,count 的数量的指定可能会不起作用,Redis 会自动调整每次的遍历数目。_redis命令
URP渲染管线简介-程序员宅基地
文章浏览阅读449次,点赞3次,收藏3次。URP的设计目标是在保持高性能的同时,提供更多的渲染功能和自定义选项。与普通项目相比,会多出Presets文件夹,里面包含着一些设置,包括本色,声音,法线,贴图等设置。全局只有主光源和附加光源,主光源只支持平行光,附加光源数量有限制,主光源和附加光源在一次Pass中可以一起着色。URP:全局只有主光源和附加光源,主光源只支持平行光,附加光源数量有限制,一次Pass可以计算多个光源。可编程渲染管线:渲染策略是可以供程序员定制的,可以定制的有:光照计算和光源,深度测试,摄像机光照烘焙,后期处理策略等等。_urp渲染管线