微信小程序的登陆流程详解

小程序登陆和登陆状态维护

1.客户端调用 wx.login() ，获得返回参数 code

2.客户端调用 wx.request() 将 code 发送到服务器

3.服务器将 code 和存储在服务器的 appid 和 appSecret 共三个参数作为请求参数，向下面的微信服务器接口发起请求:

https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code

获得返回参数 openid 和 session_key 。

openid是用户唯一标识，session_key 是针对用户数据进行加密签名的密匙

session_key在文件校验，获取用户信息时均需使用

一般为了安全起见，这两个数据都不会发往客户端。

4.服务器使用 openid 和 session_key 生成 3rd_session 作为自己派发的登陆态标识token，将其发送到小程序客户端。

5.小程序客户端将 3rd_session 存入 storage

6.后续用户进入小程序时，首先调用 wx.checksession() 检测登陆态，如果失败，重新发起登陆流程。

7.如果登陆状态未失效，则从 storage 中读取 3rd_session。在需要用户标识的 wx.request() 时作为用户标识发送到服务器检验,服务器判断其是否合法。

ps.在生成 3rd_session 时，将 3rd_session 作为键，将 session_key + openid 作为值，存储在 服务器的 session 存储中。每个3rd_session都需要设置一个失效时间。

获取用户信息

根据微信请求用户信息接口wx.getUserinfo()函数的请求参数withCredentials的布尔值及用户的登陆状态不同，会有不同的返回值。

当withCredentials 为 true 且 用户登陆态未到期

返回的数据会包括 encryptedData，iv等敏感数据。

请求用户信息返回数据如下：

1. userinfo 不包含敏感数据的用户信息
2. rawData 不包含敏感数据的原始数据字符串,用于签名校验
3. signature。 使用sha1( rawData + sessionkey ) 得到的字符串，用于签名校验数据
4. encryptedData 包含 openId，unionId 等用户敏感数据的加密数据
5. iv 加密算法的初始向量

当withCredentials 为 false 时

不要求登陆状态，返回数据不包含敏感数据。

---

小程序的数据签名校验和数据解密

签名校验(用于校验数据完整性等)：

需要使用session_key。客户端将 signature 和 rawData 发送到服务器，服务器通过相同的 sha1( rewData + session_key) 算法计算出 signature2，并与客户端发送过来的signature对比，校验数据完整性。

---

加密数据encryptedData的解密：

需要客户端将接口返回的encryptedData发送到服务器，服务器使用 appId 和 session_key ，根据加密算法的初始向量 iv 对 encryptedData 进行解密（微信提供有后端解密代码，包括python，php等(无java)