在开发基于微信服务号的 H5 应用时,用户身份验证是一个基础且关键的环节。微信 OAuth2 网页授权机制允许我们在用户访问页面时,获取其在该服务号下的唯一标识 openid,进而实现个性化服务或权限控制。下面将完整梳理这一流程及注意事项。
- 前端引导授权与静默授权
前端首先需要检查当前 URL 的查询参数中是否包含 code 参数。若没有,则应引导用户跳转至微信 OAuth2 授权页面,以获取临时的 code 凭证。
特别需要注意的是,对于已关注服务号的用户,如果是从服务号的会话窗口或自定义菜单进入网页,微信将默认执行静默授权,用户无需手动确认,即可在重定向时携带 code。
- 后端换取用户信息
在微信浏览器完成授权并重定向至预设的回调地址后,前端应将 code 传递给后端服务器。后端再凭借该 code 调用微信接口,换取用户的 openid 及基本信息(如昵称、头像等)。
OpenID 是用户在服务号下的唯一标识,是实现用户识别和服务的关键。
- 获取用户关注状态
如果业务上需要判断用户是否关注服务号,可借助微信提供的接口,根据 openid 查询用户的关注时间。调用该接口需要使用服务号的 access_token。
多数场景需要用户关注服务号,使得服务能静默获取 code 凭证。
- 关于 access_token 的管理
access_token 是服务号调用微信各类接口的全局凭证,其有效期为 2 小时,且重复获取会导致旧 token 失效。因此,必须集中管理和定时刷新,建议采用中控服务器统一获取与维护,避免多系统各自刷新造成冲突。
一种常见的做法是使用 Redis 等共享存储来保存 access_token,并确保不同业务系统均从中控服务获取,以保证全局唯一性和有效性。
核心流程总结:
- 前端检查 code → 无则跳转授权;
- 微信重定向带回 code → 传至后端;
- 后端用 code 换 openid / 用户信息;
- 如需判断关注状态,使用 openid + access_token 查询;
- access_token 须中控维护,避免多系统冲突。
通过以上流程,我们可以在符合微信规范的前提下,安全、高效地实现用户身份识别与信息获取。
参考:
https://developers.weixin.qq.com/doc/service/guide/h5/auth.html
https://developers.weixin.qq.com/doc/service/api/usermanage/userinfo/api_userinfo.html