开发前的准备

  • 微信公众号API文档
  • 微信API调试接口地址
  • 测试公众号申请,申请地址注意:微信授权登录测试用户必须已经关注测试号,否则会获取不到用户信息
  • 已备案支持微信调试的域名,开放80或者443端口,如果没有可以使用内网穿透,因为是本地开发所以这里选择的是后者,使用内网穿透
  • 授权相关需要在测试号内配置

服务器校验接口编写

参数 描述
signature 微信加密签名,signature结合了开发者填写的token参数和请求中的timestamp参数、nonce参数。
timestamp 时间戳
nonce 随机数
echostr 随机字符串 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
public String validate(String signature, String timestamp, String echostr, String nonce) {
    log.info("#####微信服务器加密后的字符串: {},时间戳:{},随机字符串:{},随机数:{}#####", signature, timestamp, echostr, nonce);
    //获取配置文件中的token
    String token = wxMpService.getWxMpConfigStorage().getToken();
    if (timestamp.isEmpty() || nonce.isEmpty()) {
        return "";
    }
    /*
         * 验证逻辑:
         *       token+timestamp+nonce三个字符串进行sort排序,
         *       然后按照顺序进行拼接字符串,进行shaHex算法加密得到加密后的字符串
         *       最后判断signature和加密后的密文是否相同
         *           如果相同表示验证通过,返回echostr字符串
         *           否则验证失败。
         * */
    if (wxMpService.checkSignature(timestamp, nonce, signature)) {
        log.info("#####验证成功#####");
        return echostr;
    } else {
        log.info("#####验证失败#####");
        return "";
    }
}

用户同意授权,获取code

在确保微信公众账号拥有授权作用域(scope参数)的权限的前提下(服务号获得高级接口后,默认拥有scope参数中的snsapi_base和snsapi_userinfo),引导关注者打开如下页面:

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

若提示“该链接无法访问”,请检查参数是否填写错误,是否拥有scope参数对应的授权作用域权限。

参数 是否必须 说明
appid 公众号的唯一标识
redirect_uri 授权后重定向的回调链接地址, 请使用 urlEncode 对链接进行处理
response_type 返回类型,请填写code
scope 应用授权作用域,snsapi_base (不弹出授权页面,直接跳转,只能获取用户openid),snsapi_userinfo (弹出授权页面,可通过openid拿到昵称、性别、所在地。并且, 即使在未关注的情况下,只要用户授权,也能获取其信息 )
state 重定向后会带上state参数,开发者可以填写a-zA-Z0-9的参数值,最多128字节
#wechat_redirect 无论直接打开还是做页面302重定向时候,必须带此参数

关于特殊场景下的静默授权

  1. 对于以snsapi_base为scope的网页授权,就静默授权的,用户无感知;
  2. 对于已关注公众号的用户,如果用户从公众号的会话或者自定义菜单进入本公众号的网页授权页,即使是scope为snsapi_userinfo,也是静默授权,用户无感知。

通过code换取网页授权access_token

首先请注意,这里通过code换取的是一个特殊的网页授权access_token,与基础支持中的access_token(该access_token用于调用其他接口)不同。公众号可通过下述接口来获取网页授权access_token。如果网页授权的作用域为snsapi_base,则本步骤中获取到网页授权access_token的同时,也获取到了openid,snsapi_base式的网页授权流程即到此为止。

获取code后,请求以下链接获取access_token:https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

参数 是否必须 说明
appid 公众号的唯一标识
secret 公众号的appsecret
code 填写第一步获取的code参数
grant_type 填写为authorization_code

返回结果:

1
2
3
4
5
6
7
{
  "access_token":"ACCESS_TOKEN",   // 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
  "expires_in":7200,               // access_token接口调用凭证超时时间,单位(秒)
  "refresh_token":"REFRESH_TOKEN", // 用户刷新access_token
  "openid":"OPENID",               // 用户唯一标识,请注意,在未关注公众号时,用户访问公众号的网页,也会产生一个用户和公众号唯一的OpenID
  "scope":"SCOPE"                  // 用户授权的作用域,使用逗号(,)分隔
}

刷新access_token(如果需要)

由于access_token拥有较短的有效期,当access_token超时后,可以使用refresh_token进行刷新,refresh_token有效期为30天,当refresh_token失效之后,需要用户重新授权。

获取第二步的refresh_token后,请求以下链接获取access_token: https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

参数 是否必须 说明
appid 公众号的唯一标识
grant_type 填写为refresh_token
refresh_token 填写通过access_token获取到的refresh_token参数

返回结果:

1
2
3
4
5
6
7
{ 
  "access_token":"ACCESS_TOKEN",   // 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同                    
  "expires_in":7200,               // access_token接口调用凭证超时时间,单位(秒)
  "refresh_token":"REFRESH_TOKEN", // 用户刷新access_token
  "openid":"OPENID",               // 用户唯一标识
  "scope":"SCOPE"                  // 用户授权的作用域,使用逗号(,)分隔
}

拉取用户信息(需scope为 snsapi_userinfo)

如果网页授权作用域为snsapi_userinfo,则此时开发者可以通过access_token和openid拉取用户信息了。

http:GET(请使用https协议) https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
openid 用户的唯一标识
lang 返回国家地区语言版本,zh_CN 简体,zh_TW 繁体,en 英语

返回结果:

1
2
3
4
5
6
7
8
9
10
11
{   
  "openid": "OPENID",   // 用户的唯一标识
  "nickname": NICKNAME, // 用户昵称
  "sex": 1,             // 用户的性别,值为1时是男性,值为2时是女性,值为0时是未知
  "province":"PROVINCE",// 用户个人资料填写的省份
  "city":"CITY",        // 普通用户个人资料填写的城市
  "country":"COUNTRY",  // 国家,如中国为CN
  "headimgurl":"https://thirdwx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46", // 用户头像,最后一个数值代表正方形头像大小(有0、46、64、96、132数值可选,0代表640*640正方形头像),用户没有头像时该项为空。若用户更换头像,原有头像URL将失效。
  "privilege":[ "PRIVILEGE1" "PRIVILEGE2"     ], // 用户特权信息,json 数组,如微信沃卡用户为(chinaunicom)
  "unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL" // 只有在用户将公众号绑定到微信开放平台帐号后,才会出现该字段。
}

附:检验授权凭证(access_token)是否有效

http:GET(请使用https协议) https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID

参数 描述
access_token 网页授权接口调用凭证,注意:此access_token与基础支持的access_token不同
openid 用户的唯一标识

最后更新: 2022年04月13日 17:26

原始链接: https://blog.hdqyf.club/2022/04/13/20220413-Java微信公众号授权/

× 请我吃糖~
打赏二维码