关于我昨天突然接到神秘“面试”:微信扫码授权登录的实现逻辑是神魔?在这个扫码授权的过程中客户端、服务端、微信平台都做了些神魔?二维码里面又有哪些信息?
从手机微信扫一扫二维码到登录个人的知乎账户,中间究竟发生了什么,是怎么做到的呢?
在了解它底层具体怎么实现之前,我们可以先去了解怎么去实现这个微信授权登录,如何给自己的网站加上微信授权登录?
APPID
和APPSECRET
做完上面的事情之后,我们就拿到了三个属性:
APPID、APPSECRET、回调域名
,接下来我们就可以获取网页的二维码了
这个二维码是微信生成的,我们只需要按下面的格式键入正确的地址和参数就可以获取:
https://open.weixin.qq.com/connect/qrconnect?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
该请求所需要配置的参数列表为:
参数 | 是否必须 | 说明 |
---|---|---|
appid | 是 | 应用的唯一表示,在上面的申请中拿到了 |
redirect_uri | 是 | 回调的域名,也就是上面填的哪个域名 |
response_type | 是 | code ,此处就是一个占位符,后续会使用它进行授权获取access_token 和openId |
scope | 是 | 网页授权填写:snsapi_login ,表示应用授权的作用域 |
state | 否 | 用于防止CSRF攻击(跨站请求伪造攻击) |
我们以知乎的举例,可以拿到知乎的登陆的二维码的URL为:
复制代码
https://open.weixin.qq.com/connect/qrconnect? appid=wx268fcfe924dcb171& redirect_uri=https://www.zhihu.com/oauth/callback/wechat?action=login&from=&& response_type=code& scope=snsapi_login#wechat
看上面的URL我们可以得出它的参数列表为:
APPID
:wx268fcfe924dcb171Redirect_uri
:www.zhihu.com/oauth/callb…response_type
:codescope
:snsapi_loginstate
:由于是不一定要填写的,此处并没有state这个参数通过上面那个地址我们可以来到知乎的微信二维码授权登录页面,打开控制台,我们就可以发现有一个请求一直在进行轮询,每15s进行一次轮询:
我们具体来分析一下这个轮询的方法,可以看到这个轮询的方法里面有两个参数:
uuid
:我认为是进行标识机器的一个ID,每一个二维码都对应一个唯一的UUID,因为每一次的二维码都是不一样的,这样我们就可以在微信扫描之后,知道微信与哪一台机器进行绑定,进而在授权之后进行一个重定向-
:计数器,上述的十来个请求,它的计数器会依次加一如果我们长期不扫码,它就会一直轮询请求,在过去一定时间后会刷新二维码,如果不扫码,它返回的结果就一直为:window.wx_errcode = 408;window.wx_code = ''
在我们进行扫码之后,页面会变为:
此时进行轮询的接口的查看响应,可以发现是window.ex_errcode = 404; window.wx_code = ''
,也就是说由最开始的状态码408
转为404
手机上的页面为,在扫码成功后,就会调起微信OAuth2.0
,请求微信授权登录
如果拒绝授权,返回的状态码就为:window.ex_errcode = 403; window.wx_code = ''
,页面跳转到
而我们如果授权,此时返回回来的数据就是:
window.wx_errcode=405;window.wx_code='061xgj000c2DHP1dpk400y062z2xgj00';
code
为405
,并且code
不为空cookie
的设置也可以: 带上我们的code,此时就可以在后台的程序中通过代码,完成以下步骤:
APPID APPSECRET CODE
获取用户的 access_token openid
access_token openid
获取用户的个人信息3.1 Gitee实现方案
这里我看Gitee的方案是,在请求到这个接口后,在cookie中存入个人信息,并重定向回网页(后台进行重定向):
重定向回了https://gitee.com/dashboard
,因为cookie中有了个人信息了,所以就能登录成功
3.2 知乎实现方案
而知乎的做法是返回一段前端代码,然后调用了一个登录的接口,进而重定向到主页:
至此,从微信扫码授权登录到网页获得授权信息成功登陆的具体流程就讲完了,大概的过程就是:
APPID APPSECRET
,配置好自己的回调URI
URL
URI
的重定向,带上code
code
依次获取access_token openid
和个人信息
文章浏览阅读2w次,点赞7次,收藏51次。四个步骤1.创建C++ Win32项目动态库dll 2.在Win32项目动态库中添加 外部依赖项 lib头文件和lib库3.导出C接口4.c#调用c++动态库开始你的表演...①创建一个空白的解决方案,在解决方案中添加 Visual C++ , Win32 项目空白解决方案的创建:添加Visual C++ , Win32 项目这......_c#调用lib
文章浏览阅读4.6k次。苹方字体是苹果系统上的黑体,挺好看的。注重颜值的网站都会使用,例如知乎:font-family: -apple-system, BlinkMacSystemFont, Helvetica Neue, PingFang SC, Microsoft YaHei, Source Han Sans SC, Noto Sans CJK SC, W..._ubuntu pingfang
文章浏览阅读159次。表单表单概述表单标签表单域按钮控件demo表单标签表单标签基本语法结构<form action="处理数据程序的url地址“ method=”get|post“ name="表单名称”></form><!--action,当提交表单时,向何处发送表单中的数据,地址可以是相对地址也可以是绝对地址--><!--method将表单中的数据传送给服务器处理,get方式直接显示在url地址中,数据可以被缓存,且长度有限制;而post方式数据隐藏传输,_html表单的处理程序有那些
文章浏览阅读1.2k次。使用说明:开启Google的登陆二步验证(即Google Authenticator服务)后用户登陆时需要输入额外由手机客户端生成的一次性密码。实现Google Authenticator功能需要服务器端和客户端的支持。服务器端负责密钥的生成、验证一次性密码是否正确。客户端记录密钥后生成一次性密码。下载谷歌验证类库文件放到项目合适位置(我这边放在项目Vender下面)https://github.com/PHPGangsta/GoogleAuthenticatorPHP代码示例://引入谷_php otp 验证器
文章浏览阅读4.3k次,点赞5次,收藏11次。matplotlib.plot画图横坐标混乱及间隔处理_matplotlib更改横轴间距
文章浏览阅读2.2k次。①Storage driver 处理各镜像层及容器层的处理细节,实现了多层数据的堆叠,为用户 提供了多层数据合并后的统一视图②所有 Storage driver 都使用可堆叠图像层和写时复制(CoW)策略③docker info 命令可查看当系统上的 storage driver主要用于测试目的,不建议用于生成环境。_docker 保存容器
文章浏览阅读834次,点赞27次,收藏13次。网络拓扑结构是指计算机网络中各组件(如计算机、服务器、打印机、路由器、交换机等设备)及其连接线路在物理布局或逻辑构型上的排列形式。这种布局不仅描述了设备间的实际物理连接方式,也决定了数据在网络中流动的路径和方式。不同的网络拓扑结构影响着网络的性能、可靠性、可扩展性及管理维护的难易程度。_网络拓扑csdn
文章浏览阅读1.8k次,点赞5次,收藏8次。IOS系统Date的坑要创建一个指定时间的new Date对象时,通常的做法是:new Date("2020-09-21 11:11:00")这行代码在 PC 端和安卓端都是正常的,而在 iOS 端则会提示 Invalid Date 无效日期。在IOS年月日中间的横岗许换成斜杠,也就是new Date("2020/09/21 11:11:00")通常为了兼容IOS的这个坑,需要做一些额外的特殊处理,笔者在开发的时候经常会忘了兼容IOS系统。所以就想试着重写Date函数,一劳永逸,避免每次ne_date.prototype 将所有 ios
文章浏览阅读5.3k次。方法一:用PLSQL Developer工具。 1 在PLSQL Developer的sql window里输入select * from test for update; 2 按F8执行 3 打开锁, 再按一下加号. 鼠标点到第一列的列头,使全列成选中状态,然后粘贴,最后commit提交即可。(前提..._excel导入pl/sql
文章浏览阅读83次。Git常用命令速查手册1、初始化仓库git init2、将文件添加到仓库git add 文件名 # 将工作区的某个文件添加到暂存区 git add -u # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,不处理untracked的文件git add -A # 添加所有被tracked文件中被修改或删除的文件信息到暂存区,包括untracked的文件...
文章浏览阅读202次。分享119个ASP.NET源码总有一个是你想要的_千博二手车源码v2023 build 1120
文章浏览阅读1.8k次。版权声明:转载请注明出处 http://blog.csdn.net/irean_lau。目录(?)[+]1、缺省构造函数。2、缺省拷贝构造函数。3、 缺省析构函数。4、缺省赋值运算符。5、缺省取址运算符。6、 缺省取址运算符 const。[cpp] view plain copy_空类默认产生哪些类成员函数