小程序：授权、登录、session_key、unionId的详解

所属分类：网络编程 / JavaScript 阅读数： 1511

收藏 0赞 0分享

微信应用的一个很大的优势就在于使用过程中是不需要进行注册和显式登录的，大部分问题基本上可以一键解决。但是在授权、登录和获取用户信息的过程中都发生了哪些事情，今天我们就来讨论一下。这篇文章主要分析以下几个问题：

授权和登录的意义
session_key 的作用
unionId 的作用，有哪些获取途径
在应用中如何保存用户登录态

1. 授权和登录的意义

首先必须要明白，授权和登录实际上是两个操作。

1.1 授权（已废弃）

那授权的作用是啥呢？从小程序官方文档中我们可以看到授权操作只需通过wx.authorize() 接口便可以完成，以下是文档中对授权操作的描述：

提前向用户发起授权请求。调用后会立刻弹窗询问用户是否同意授权小程序使用某项功能或获取用户的某些数据，但不会实际调用对应接口。如果用户之前已经同意授权，则不会出现弹窗，直接返回成功。

也就是说，授权过程实际上只是在小程序前端获得了操作部分wx 接口的访问许可，这个过程实际上是不会与开发者服务器发生任何关系的。那这些访问许可包含哪些内容呢？再来看微信官方提供的scope 列表：

注：新版api已废弃wx.authorize()，具体信息查看https://developers.weixin.qq.com/miniprogram/dev/api/open.html

1.2 登录

所谓的登录就是要让开发者服务器知道当前的用户是谁？在传统的web 应用中，我们必须要让用户输入账号和密码才能实现登录操作。但是在微信应用中，我们可以通过微信服务器来完成这个操作，获取到与当前用户对应的唯一标志（openId），具体操作实现流程如下：

注：每个用户相对于每个微信应用（公众号或者小程序）的openId 是唯一的，也就是说一个用户相对于不同的微信应用会存在不同的openId

从上图中，我们可以看出，小程序中登录步骤如下：

① 小程序前端使用wx.login() 从微信服务器获取code

② 小程序前端将code 发送给开发者服务器，开发者服务器利用appId、appSecret 和code 向微信服务器换换取用户openId 和session_key

③ 开发者服务器自定义登录态并将其与openId 和session_key 关联起来然后写session

④ 开发者服务器将登录态返回给小程序前端，小程序前端使用wx.setStorageSync() 将登录态保存起来

⑤ 小程序前端在执行业务请求时将登录态发送给开发者服务器，以便开发者服务器知道当前操作的用户是哪位。

也就是说，在整个过程中小程序前端是拿不到用户openId 的，它只能通过开发者服务器发给它的登录态来告诉服务器当前用户的信息。登录过程中涉及session_key 和unionId，于是又引出了下面的问题。

2. session_key 的作用

那么，session_key 在登录的过程中或者登录完成后起什么作用呢？一起来看一下。

2.1 wx.getUserInfo

首先来看一下wx.getUserInfo 这个api：

在设置withCredentials 属性为true 的情况下，这个api 可以拿到encryptedData，iv 等敏感信息，encryptedData 需要使用session_key 进行解密，解密后可以拿到的数据如下：

也就是说，session_key 的作用之一是将小程序前端从微信服务器获取到的encryptedData 解密出来，获取到openId 和unionId 等信息。但是在1.2 登录过程中我们可以看到开发者服务器是能够直接拿到用户的openId 信息的，而且unionId 也是有其他获取途径的，所以session_key 在这里的作用看起来有点鸡肋。

2.2 getPhoneNumber

session_key 更重要的作用大概体现在获取用户手机方面（可能还包含其他敏感信息获取api）。