微信 oauth2 两次回调

最新推荐文章于 2025-04-14 15:37:39 发布
最新推荐文章于 2025-04-14 15:37:39 发布
阅读量469 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/yipeng-yu/p/6815751.html
版权
本文介绍了如何解决微信授权登录过程中因redirect_uri编码不完整导致的重复回调问题,并提供了一种有效的解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 场景:

logger.Info("f: " + wx.From);
logger.Info("c: " + wx.Code);
logger.Info("s: " + wx.State);

Response.Redirect("https://open.weixin.qq.com/connect/oauth2/authorize?appid=8RAN90uJ1967wpt1Y5&redirect_uri=www.xxxx.com%3a8001%2fWxAuthPage.aspx?from=notreserve&response_type=code&scope=snsapi_base&state=1#wechat_redirect");

出现:

除了code不一致,其它一致。

这样导致如下两次插入:

var mealtake = new MealTake
{
Id = Guid.NewGuid(),
IsTaked = true,
TakeDate = DateTime.Now,
MealType = mt.MealType,
PersonOrder = personOrder
};

context.Set<MealTake>().Add(mealtake);
context.SaveChanges();

 

想到的解决方法:

Response.Redirect("https://open.weixin.qq.com/connect/oauth2/authorize?appid=8RAN90uJ1967wpt1Y5&redirect_uri=www.xxxx.com%3a8001%2fWxAuthPage.aspx?from=notreserve&response_type=code&scope=snsapi_base&state=1#wechat_redirect");

改成

Response.Redirect("https://open.weixin.qq.com/connect/oauth2/authorize?appid=8RAN90uJ1967wpt1Y5&redirect_uri=www.xxxx.com%3a8001%2fWxAuthPage.aspx?from=notreserve&response_type=code&scope=snsapi_base&state="+Guid.NewGuid().ToString()+"#wechat_redirect");

 

再把插入代码改成

if (!context.Set<PersonOrder>().Any(n => n.Comment == wx.State))
{
  var person = context.Set<MealPerson>().Include("PersonType").FirstOrDefault(n => n.Id == wxUserInfo.User.Id);
  var personOrder = MealOrderService.CreatePersonOrder(person, mt.MealType, mealdate, false);
  personOrder.Comment = wx.State;
  var mealtake = new MealTake
  {
    Id = Guid.NewGuid(),
    IsTaked = true,
    TakeDate = DateTime.Now,
    MealType = mt.MealType,
    PersonOrder = personOrder
  };

  context.Set<MealTake>().Add(mealtake);
  context.SaveChanges();
}

=============================================================

具体原因,原来是redirect_uri导致的,漏了对redirect_uri进行完整的UrlEncode:

redirect_uri=www.xxxx.com%3a8001%2fWxAuthPage.aspx?from=notreserve

改成

redirect_uri=www.xxxx.com%3a8001%2fWxAuthPage.aspx%3ffrom%3dnotreserve

就不会发生两次回调了

转载于:https://www.cnblogs.com/yipeng-yu/p/6815751.html

【漏洞挖掘】——142、 逻辑漏洞之OAuth 2.0认证缺陷刨析
Fly_鹏程万里
07-29 634
我们在浏览到一个网页时经常会遇到需要使用一段第三方社交媒体的账户(Github、Facebook等)登录的情况,而这种大多数都是使用OAuth 2.0框架构建的,关于此项技术之前只是在一些功能站点中作为用户来使用并未对此进行深入研究,最近出于对OAuth 2.0的安全评估需求,对OAuth 2.0的身份认证过程和安全脆弱性进行了一个从零到一的梳理并以文章方式呈现,本篇文章将着重介绍OAuth身份认证的原理、OAuth 身份认证过程中存在的安全问题以及如何正确使用OAuth进行身份认证。
h5支付回调返回值是什么 php_微信HTML5网页支付PHP + JS API总结
weixin_42391580的博客
12-29 599
微信公众号开发给我设置了很多坑,每一个开发微信开发者,在面对微信的API文档时,都是崩溃的。微信支付的开发就更加崩溃,因为微信支付涉及到签名,其两次签名的设计,让人饱受折麽,为APP开发的同学们感叹。而这篇文章,主要来谈一下微信支付在HTML5页面(微信浏览器内部)内进行支付的开发过程。微信服务号用户授权接口首先要解决的是微信服务号用户授权的问题,授权过程主要是为了拿到用户的openid,或者...
为什么oauth 2.0规范里 先后两次提交并验证redirect_uri
信言的笔记
02-14 9895
耗子写了篇关于 oauth 的文章,其中第二个bug没有看懂。翻了原文又翻了规范,后来才想通。 原文是 Bug 2. Lack of redirect_uri validation on get-token endpoint 换token(指的是access token)的时候缺少重定向地址的校验。 OAuth 2.0的规范 http://tools.ietf.org/html/r
微信网页授权回调两次问题
haibo_j的博客
03-22 5471
最近在做微信公号网页授权登录时发现回调两次!而且大部分是安卓手机,苹果机并没有发现这个问题;试了很多方法都没有效果,最近有人提到在请求链接:https://open.weixin.qq.com/connect/oauth2/authorize?appid=xxx&amp;redirect_uri=xxx&amp;response_type=code&amp;scope=snsapi_userinf...
OAuth 2.0 / 微信认证 解读
最新发布
xuukai的博客
04-14 1188
OAuth 2.0协议是一种授权框架,允许第三方应用在不获取用户密码的情况下访问用户的资源。:用户访问第三方应用并选择使用微信进行登录,应用会请求用户的授权。获取授权码(code):用户同意授权后,微信会重定向回应用的回调地址,并附带一个授权码。:应用使用授权码向微信服务器请求访问令牌。:应用使用访问令牌向微信服务器请求用户的基本信息,如昵称、头像等。开始↓用户点击第三方应用的微信登录按钮↓第三方应用重定向用户到微信授权页面↓用户在微信授权页面选择是否同意授权。
微信 oauth 登录 ,回调两次,一个坑,记录一下。
altzlo7909的博客
01-20 306
在做微信某个功能的时候,大致需求是:静默授权,得到openId ,然后拿着openId调用接口,判断是否关注。如果是关注的,则发放礼券。每个我网站的会员只会发放一次礼券。如果第二次则会提示已领取过礼券。 坑的表现为:我不管怎么换登会员号,总是提示我已领取过礼券,然后通过日志发现,静默授权的时候,发生了两次回调,时间间隔大概为1秒。也就是说,第一次回调后,我就将礼券发放到这个帐号了,第二...
解决微信公众号oauth2授权redirect两次的办法
zch-兴趣使然-blog
12-07 4188
最近公司开发微信公众号,发现微信oauth2授权重定向服务器url时会请求两次并且带着同一个code,仔细考虑解决方案之后想到了两种解决方案,一种是重定向的方法中判断code的有效性若有效即通过code获取openId并存入session;另一种就是通过return redirect的方式将生成的openId以参数形式传给重定向的方法中。这里贴出第二种方法希望给碰到这种问题的开发友友们一些参考。
oauth2授权码模式下为什么要code换取token
菜鸟的学习笔记
03-21 1124
为什么需要code换取token之胡扯八道
微信app支付统一下单设置回调地址php,微信支付配置回调地址
weixin_32668987的博客
03-09 6947
需要超级管理员帐号登录才可操作1) 所有使用公众号支付方式发起支付请求的链接地址,都必须在支付授权目录之下;2) 支付授权目录最多可以设置5个目录3) 头部要包含http或https,须细化到二级或三级目录,以左斜杠“/”结尾。业务中发起支付的页面地址必须在授权目录下,否则调用下单接口时会提示“当前页面的URL未注册”。4) 授权回调页面域名:(用来jsapi支付的必须)位置:微信支付——>...
php微信重复回调,解决微信授权登陆重复回调的问题
weixin_31600859的博客
03-26 823
有个问题要记录一下,就是微信授权登录之后重复回调的问题。微信授权的流程是这样:1.用户在微信里打开链接A,微信就会携带code和state访问A中的重定向链接B。(用户的微信客户端-->微信)链接A如下:https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&a...
微信公众号开发:玩转OAuth2.0授权
weixin_45703565的博客
03-16 1602
OAuth(开放授权)是一个开放授权标准,允许用户让第三方应用通过指定方式获取短期有效的访问令牌,代替用户密码,在令牌权限范围内访问资源服务器上的特定保护资源,从而用户无需与第三方应用共享用户名和密码。那什么是开放授权,最直接的例子就是在登录一些网站的时候使用第三方账户进行登录。
OAuth2疑问解答
代码说-Let code talk
02-20 335
OAuth2的学习,我也是从阮一峰老师的博客中开始的:[url]http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html[/url] 下文中以“该博客”指代阮老师的博客。 但,阮一峰老师的博客似乎忽略了很多细节。 OAuth2的实际应用中,最常见的就是“授权码模式”了。 微博是这种模式,微信也是这种模式。 总结来说,就是简单的二步...
大话Oauth2.0(二)、标准流程下的Oauth2组件及通信
新栋BOOK
04-30 416
首先祝大家五一节日快乐!Oauth2.0协议的核心内容是,第三方软件如何获取访问令牌,以及如何利用这个访问令牌代表资源拥有者访问受保护的资源。在这篇文...
JS微信支付功能实现总结
AbsenceOfTrace的博客
07-12 1574
因为业务需要用到网页端微信支付功能,跨过了许许多多个坑终于实现了支付功能。特此梳理总结下思路,希望有可能帮助到其他需要用到支付功能的同学。1.用户同意授权,获取code。用户授权有两种scope,以下采用snsapi_base静默授权并自动跳转到回调页。另外一种scope有兴趣可以根据API自行设置访问地址: https://open.weixin.qq.com/connect/oauth2/aut
企业微信登录问题
weixin_33975951的博客
01-03 1110
在使用公众号的OAuth过程中,我们有时会碰到40029(invalid code,不合法的oauth_code)的错误。      据说是微信做了两次回调     后面索性加了缓存处理  错误的几率大大降低 GetUserInfoResult userinfo = mCache.Get&lt;GetUserInfoResult&gt;(token.access_token.ToS...
微信公众号第三方授权登录->自带源码-->自己记录学习
weixin_30270889的博客
10-24 1161
开发之前最好看下官方文档QAQ https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140842 1 第一步:用户同意授权,获取code 2 第二步:通过code换取网页授权access_token 3 第三步:刷新access_token(如果需要) 4 第四步:拉取用户信息(需scope为 snsapi_use...
OAuth2.0协议入门
Daniel462038751的专栏
10-20 2402
OAuth2.0 协议原理 OAuth 2.0 协议是一种三方授权协议,目前大部分的第三方登录与授权都是基于该协议的标准或改进实现。OAuth 1.0 的标准在 2007 年发布,2.0 的标准则在 2011 年发布,其中 2.0 的标准取消所有 Token 的加密过程,并简化了授权流程,但因强制使用 HTTPS 协议,被认为安全性高于 1.0 的标准。 一. 基础应用:第三方登录 ​ 对于 OAuth2.0 协议(以下简称 OAuth 协议)的第一次接触,我相信大部分开发者都是通过对接第三方登录
denied 登陆后access_微信无感登陆的实现
weixin_39867893的博客
11-28 650
微信无感登陆的实现第一步:依托某一个公众号,设置网页授权。第二步:对于某个访问页,通过snsapi_base的静默模式,获取微信用户对应该公众号的唯一openID 第三步:自动把该OpenID注册到系统用户列表,通过该openID 作为系统的登陆效验。 @ResponseBody @RequestMapping("openid")//此处填自己要用到的项目名。 public stati...
H5调微信登录的能力
01-07
一旦用户同意授权,则会被自动跳转回预先设定好的回调页(`redirect_uri`)上,在这里可以接收到由微信返回的一次性码(code),进而换取access_token以及用户资料信息。 ```php // PHP示例:处理来自微信回调数据 $...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值