網(wǎng)頁授權(quán)

1、獲取access_token

https請求方式: GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

(1)、grant_type=client_credential固定搭配

(2)、appid，secret 公眾號：開發(fā)->基本配置

{"access_token":"ACCESS_TOKEN","expires_in":7200}

{"errcode":40013,"errmsg":"invalid appid"}

(3)、獲取用戶信息

https請求方式: GET https://api.weixin.qq.com/cgi-bin/user/info?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

(4)、openid普通用戶的標(biāo)識，對當(dāng)前公眾號唯一

2、網(wǎng)頁授權(quán)

a、這里有兩種access_token ，網(wǎng)頁授權(quán)access_token & 普通access_token

區(qū)別：

? (1)、微信網(wǎng)頁授權(quán)是通過OAuth2.0機(jī)制實現(xiàn)的，用戶授權(quán)給公眾號(用戶與公眾號進(jìn)行消息交互和關(guān)注后的時間推送)，公眾號會獲取一個特有的調(diào)用憑證(網(wǎng)頁授權(quán)access_token)，通過該憑證可以進(jìn)行授權(quán)后的接口調(diào)用：用戶基本信息的獲?。猾@取次數(shù)沒有限制，與微信用戶是一對一關(guān)系。

? (2)、其他接口，需要上面的獲取access_token接口來獲取普通的access_token，每天獲取最多次數(shù)為2000次，可以獲取所有用戶信息。

? (3)、兩者有效時間都是7200s。

產(chǎn)生的疑問： 既然通過普通access_token可以獲取用戶信息，那為什么還要網(wǎng)頁授權(quán)access_token呢？

? 理解：防止未關(guān)注公眾號的用戶信息的泄露，公眾號B想獲取用戶A的基本信息，（A關(guān)注了B），一般來說，B提供一個憑證(普通的access_token)，A提供一個標(biāo)識（openid），這樣就能獲取A的基本信息了。此時若是公眾號C想要獲取A的信息，（A未關(guān)注C）,這樣就造成的A的信息泄露。所以安全的做法就是讓用戶去決定誰有查看自己私密信息的權(quán)限，這個權(quán)限就是網(wǎng)頁授權(quán)access_token。

b、兩種scope，snsapi_base & snsapi_userinfo

? (1)、以snsapi_base為scope發(fā)起的網(wǎng)頁授權(quán)，是用來獲取進(jìn)入頁面的用戶的openid的，并且是靜默授權(quán)并自動跳轉(zhuǎn)到回調(diào)頁的。用戶感知的就是直接進(jìn)入了回調(diào)頁（往往是業(yè)務(wù)頁面）

? (2)、以snsapi_userinfo為scope發(fā)起的網(wǎng)頁授權(quán)，是用來獲取用戶的基本信息的。但這種授權(quán)需要用戶手動同意，并且由于用戶同意過，所以無須關(guān)注，就可在授權(quán)后獲取該用戶的基本信息。

c、網(wǎng)頁授權(quán)流程

? (1)、用戶請求公眾號，公眾號回調(diào)授權(quán)，用戶同意授權(quán)，并且獲取code

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

• scope：snsapi_base，snsapi_userinfo
• response_type：code
• 如果用戶同意授權(quán)，頁面將跳轉(zhuǎn)至 redirect_uri/?code=CODE&state=STATE。

? (2)、根據(jù)code去獲取access_token ，

獲取access_token： https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

如果網(wǎng)頁授權(quán)的作用域為snsapi_base，則本步驟中獲取到網(wǎng)頁授權(quán)access_token的同時，也獲取到了openid，snsapi_base式的網(wǎng)頁授權(quán)流程即到此為止。

• secret：公眾號的appsecret
• code：上一步的code
• grant_type：authorization_code

{
  "access_token":"ACCESS_TOKEN",
  "expires_in":7200,
  "refresh_token":"REFRESH_TOKEN",
  "openid":"OPENID",
  "scope":"SCOPE" 
}

? (3)、檢驗授權(quán)憑證（access_token）是否有效

http：GET（請使用https協(xié)議） https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID

{ "errcode":0,"errmsg":"ok"}

{ "errcode":40003,"errmsg":"invalid openid"}

? (4)、考慮到access_token時效的問題可使用上一步獲取的refresh_token 進(jìn)行token刷新，refresh_token 有效期30天

刷新access_token： https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

• grant_type：填寫為refresh_token
• refresh_token：填寫通過access_token獲取到的refresh_token參數(shù)

? (5)、 拉取用戶信息(需scope為 snsapi_userinfo)

http：GET（請使用https協(xié)議） https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

{   
  "openid":" OPENID",
  "nickname": NICKNAME,
  "sex":"1",
  "province":"PROVINCE",
  "city":"CITY",
  "country":"COUNTRY",
  "headimgurl":"https://thirdwx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46",
  "privilege":[ "PRIVILEGE1" "PRIVILEGE2"     ],
  "unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"
}

有誤之處，還請指正。