問題描述

我的想法是點(diǎn)擊登錄按鈕之后進(jìn)入前端的一個(gè)登錄中轉(zhuǎn)頁面，這個(gè)中轉(zhuǎn)頁面的后端邏輯中通過code參數(shù)，向https://api.weixin.qq.com/sns...這個(gè)API獲取到用于訪問該用戶信息的access_token的同時(shí)在數(shù)據(jù)庫里面保存一個(gè)access_token與微信用戶openid的對應(yīng)關(guān)系，并且向前端set一個(gè)值為該access_token的cookie。然后前端各種操作都帶上這個(gè)cookie，后端通過這個(gè)cookie找到對應(yīng)的openid，并且通過服務(wù)端腳本上的app_secret，access_token等參數(shù)進(jìn)行各種操作提交，然后完成操作。

我這個(gè)思路是否有什么不對的地方嘛？想問問各位在前后端分離項(xiàng)目中是如何做微信登陸授權(quán)的？

問題解答

第三方授權(quán)登陸的話。。。你得有自己的用戶系統(tǒng)吧。所以數(shù)據(jù)庫存的是openid，access_token和你用戶系統(tǒng)user_id的表。

前端的操作除非是需要訪問微信API的，需要帶上access_token，這時(shí)有兩種辦法，一種是把a(bǔ)ccess_token寫到頁面上去，還有一種是用戶請求你的服務(wù)器的api，然后你服務(wù)器從數(shù)據(jù)庫取出access_token然后請求微信api。通常時(shí)使用后者的，因?yàn)橐话愕氖跈?quán)登陸的接口除了需要access_token以外,還會(huì)需要比方說appid和secret_code之類的，而secret_code通常是不能暴露的。

用戶的各種操作可以使用token來驗(yàn)證，這個(gè)token是你用戶系統(tǒng)生成的token，這個(gè)token可以放到cookie中。