基于token的用户权限认证机制——以微信公众号授权网页为例

最新推荐文章于 2024-09-28 18:15:03 发布
转载 最新推荐文章于 2024-09-28 18:15:03 发布 · 1.2k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://segmentfault.com/a/1190000013535016
文章标签:

#后端 #json #前端 #ViewUI

项目背景

最近在开发一个微信公众号商城,在调用下单、支付、查询订单等等接口时,需要验证用户的身份。微信提供了openid作为识别用户身份的凭证,可以结合openid设计一套用户身份权限认证机制。考虑到安全性和易实现程度,备选的方案有Session认证机制和Token认证机制,本文在比较了两者的特点后选择了Token认证机制,然后详细阐述了如何实现Token认证机制。

接口设计

在寻找合适的认证方式之前,先说明一下项目前后端的设计。项目的前后端是分离的,前端使用AJAX的方式向后端请求操作资源(增、删、改);后端接口设计遵循RESTful API原则,结果以JSON格式返回

身份认证备选方案

Session认证

在web网站中,session可以将访客状态记录在服务器中,并分配一个唯一的session id给访客,并将该id附加在headers中返回给客户端。客户端接收到session id后,会将id存储在cookie,之后客户端每次访问服务器,传送的cookie中都会携带session id,服务器以此来识别访客的身份。
Session认证流程

Token认证

token认证方式中客户端和服务器的交互过程与session的类似,客户端向服务端请求token,拿到token后,客户端可以在之后的请求中将token附加在header,以验证用户的身份和权限。
Token认证流程

比较两种认证方式

【此处应该列举诸多不同,但是一定要提到为什么token更适合,而不是session】

  1. token认证更灵活。对于session认证,客户端每次发送求情都会发送cookie;而对于token认证,可以在需要身份验证的场景下才发送token。
  2. token允许多域名认证。cookie是绑定单域名的,在a域名生成的cookie无法用于b域名,所以session id无法作为不同域名的共同认证id。而token认证则不受限制,token可以附加在任何请求上。
  3. 在客户端的存储方式不同。session自动存储在cookie,而token则需要定义存储的方式。token通常可以存储在localStorage(永久存储,浏览器关闭时不清除token)、sessionStorage(浏览器关闭时token会被清除)、cookie。值得一提的是,即使将token存储在cookie,也可以免疫CSRF,因为cookie中的token并不用于认证。
  4. CSRF(跨站请求伪造)。认证免疫CSRF(跨站请求伪造),而session认证则存在遭受CSRF的可能性。
  5. 跨站脚本攻击(XSS)。相对于session认证,token认证更容易遭受跨站脚本攻击(XSS)。

本项目考虑到Token认证机制更灵活,例如token可以控制是否附加在请求、token本身可以进行自定义加密、可以将token存储在cookie以外的地方,所以选定Token认证机制作为商城应用的用户身份权限认证机制。

获取token的流程

获取token的流程

  1. 客户端向服务端token接口提交code,请求获取token。此处的code是引导用户进入授权页面后微信服务器附加上去的,详细方法见微信公众平台的微信授权网页文档
  2. 服务端通过code向微信公众平台换取用户的openid。微信授权网页有两种授权scope,本项目只需要用户的openid,不需要用户更多的信息,所以将scope设为snsapi_base
  3. 微信公众平台向服务端返回了openid等等信息。
  4. 服务端生成token,将token和用户信息以键值对的形式存储后,服务端返回token给客户端。

存储token及用户信息的流程

存储token及用户信息的流程

  1. 服务端获取用户的openid后,在数据库中登记用户的信息,并取出用户的id。
  2. 服务端以token为key,以openid、user id、权限信息等为value,将该键值对存入缓存中。在存入缓存时,注意设置缓存有效时间,过长的有效期存在安全隐患,对于本项目,用户办理业务后短时间内不会再访问,所以将token的有效期设置为2小时。

调用接口时的token认证流程

token认证流程

  1. 客户端将token附加在header,向业务接口发送请求。

  2. 业务接口在执行业务逻辑前,凭token验证用户的身份。分别验证以下三点:

    • token的合法性(有记录)
    • token的有效性(没过期)
    • Token对应的用户权限Auth

总结

Token机制的特点

  • 使用灵活,可以选择性认证。
  • 可以多个域名使用同一token认证体系。
  • 在客户端的存储灵活,除了存储在cookie,还可以选择localStorage、sessionStorage。
  • 免疫CSRF(跨站请求伪造)。

Token认证机制的三个流程

  • 获取Token的流程。
  • 存储Token及身份权限信息的流程。
  • 调用接口时的Token认证流程。特别注意需要验证token的合法性、时效性、关联的用户权限。
Java微信公众号开发之网页授权获取用户基本信息
Thinkingcao的专栏
02-25 7793
本篇博客讲解的网页授权只需要前端传递一个backUrl(回调地址) 到后台接口,后台接口会完成整个授权流程,无需前端做更多工作; 前言 微信公众号开发,需要用到网页授权获取用户信息,通过OAuth2.0网页授权机制,来获取用户基本信息,进而实现自己的业务逻辑。(前提条件:公众号为服务号,且通过认证),我的项目开发就是已认证的服务号,写这篇文章的目的是因为刚接触微信开发的小白对微信授权的文...
Java微信公众号开发微信网页授权前端传递code方式获取用户信息
Thinkingcao的专栏
08-05 9541
本片博客讲解的网页授权分为两步,前端先传递backUrl(回调地址)到后台网页授权接口,该接口拿到回调地址后组装授权连接,重定向到前端页面,前端页面截取Code,传入后端获取用户信息方法,获取用户信息的方法拿到code后,完成授权流程,获取用户信息完成; 一、网页授权获取用户基本信息 如果用户微信中(Web微信除外)访问公众号的第三方网页,公众号开发者可以通过此接口获取当前用户基本信息(...
微信小程序攻略:如何验证Token是否即将失效并自动刷新
Jiaberrr的博客
09-28 2262
通过以上步骤,我们可以在微信小程序中实现Token的自动验证和刷新功能。这样,即使用户Token快要失效,我们也能在不影响用户体验的情况下,悄无声息地完成Token的更新。这种方法可以有效地提高小程序的稳定性和用户满意度。希望这篇文章能帮助你在微信小程序的开发过程中更好地处理Token验证问题。
微信公众平台开发2-access_token获取及应用(含源码)
weixin_30641999的博客
03-02 318
微信公众平台开发-access_token获取及应用(含源码)作者:孟祥磊-《微信公众平台开发实教程》   很多系统中都有access_token参数,对于微信公众平台的access_token参数,微信服务器判断该公众平台所拥有的权限,允许或者禁止公众平台进行当前的操作。 一、access_token作用及使用场景 (一)access_token的作用   access_token由...
JSAAS 平台实现 微信类似的TOKEN机制
weixin_34408717的博客
12-01 263
  在企业微信中,我们在调用微信接口时,我们需要首先获取token,然后根据token,调用API接口方法。这个token是有生命周期的,微信token默认的生命周期是7200秒。 因此这个token可以保证平台被安全的客户端调用。 JSAAS也需要API接口调用,在平台中JSAAS也实现了类似的接口API接口。 实现方式 1.注册子系统 产生ACCESSTOKEN接口 平台中...
token机制
weixin_30905133的博客
03-12 164
1.前端客户端通过post请求将username和password发送给服务器 2.   2.1服务器获取用户数据   2.2.验证数据   2.3.验证成功后,对用户数据进行加密,得到=加密后的随机字符串(token)   2.4然后把token值返回给前端 3.前端token值保存在storage的存储空间中(通过js代码) 后端想要获取token值: 1.通...
php仿公众号,使用PHP仿微信公众平台生成Access_Token验证
weixin_39772652的博客
03-10 355
使用PHP仿微信公众平台生成Access_Token验证2年前阅读 4087评论 0喜欢 0####核心代码如下:```php/*** title : API-模仿微信公众平台,发送签名验证 - 平台* team : JunPHP* TMP-auth : PHP后端 - 冯俊豪* VP -auth : 无* Start-time : 2016-9-22 1...
微信公众号开发-网页授权——配置测试账号
Mr__Viking的博客
06-26 3664
思路分析: 1.创建测试账号并且配置测试账号的授权回调域名。 2.由前端发起授权请求,微信收到请求后(若是首次打开,并且未关注公众号,微信会弹出授权页,提示用户授权)将重定向到请求url中配置的redirect_uri地址,并返回code和state参数。 3.将code传入后台服务端,获取网页授权access_token,再通过网页授权access_token获取用户基本信息及openid...
微信公众号 语音转文字api_快速上手——微信公众号开发接入
weixin_39565332的博客
11-21 1504
这个系列会介绍如何快速上手进行公众号、WEB/小程序、钉钉等平台的开发接入。我肯定不敢说自己写的东西比腾讯、阿里官方文档更好,而且本身我也对这些开发并没有了解得有多深入,只是希望可以筛繁就简,尽自己可能做一系列可以快速上手,同时也能为大家降低试错成本的文档。由于水平有限,错误和疏漏再所难免,欢迎讨论和指正。从微信服务的业务结构上来讲,订阅号和服务号属于同一类应用,小程序、WEB属于另一类...
C#实现微信网页授权
JiKaTogether的博客
05-25 1448
一、背景 近期实现微信招聘公众号的需求,需要在微信用户同意公众号授权后,获取到微信用户信息。这一步操作在前端无法完成,所以这里我们使用了C# WebApi项目,通过接口实现后台获取微信用户数据再重定向到前端页面。 二、思路 具体而言,微信网页授权流程分为四步: 1、引导用户进入授权页面同意授权,获取code; 2、通过code换取网页授权access_toke...
微信Token验证代码的实现
weixin_33871366的博客
03-30 563
微信开放第三方API接口, 申请地址: https://mp.weixin.qq.com/advanced/advanced?action=interface&t=advanced/interface&token=1865635074&lang=zh_CN 官方提供PHP开发代码下载:点此下载 如果你的微信接口...
go语言实战-----30-----token机制微信公众号签名验证的方法、XML解析,CDATA解析、交换协议、接收消息协议、被动回复消息协议、正则表达式
weixin_44517656的博客
04-19 1886
token机制微信公众号签名验证的方法 1 token机制 token机制就是使用一个token(通常是一个字符串,长度没有特别限制,一般是10字节或者16字节),然后按照一定的算法生成签名,然后对接的双方通过这个签名进行判断,相等则token认证成功,不相等则认证失败。 下面将以微信公众号token机制算法为进行讲述。 1.1 token算法 微信公众号token的验证方法,实际在验证token时,不会直接验证token,而是验证由token生成的签名,因为直接验证token,就需要进行传输,这样
什么是Token机制
weixin_41303815的博客
04-08 571
简单理解Token机制 什么是token token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈...
微信小程序之登录授权token的处理机制
weixin_44206947的博客
09-24 8566
目录一. wx.getUserProfile()一. wx.login()案三. 封装 request 请求四. token应用技巧 一. wx.getUserProfile() 信息授权:使用wx.getUserProfile() (wx.getUserInfo()弃用) ,获取用户信息。页面产生点击事件(如 button 上 bindtap 的回调中)后才可调用(需要用户手动触发不能自动触发事件),每次请求都会弹出授权窗口,用户同意后返回 userInfo;使用方法: getUserProfile(
微信 Token配置 与微信网页授权操作
热门推荐
Worm的专栏
03-24 1万+
微信开发准备工作 1、申请公众号测试账号地址,先注册账号 http://mp.weixin.qq.com/debug/cgi-bin/sandboxinfo?action=showinfo&t=sandbox/index 2、更改接口信息配置的Token与URL地址 注:该URL是直接指向到具体能访问到的地址。 3、设置JS安全域名与设置网页授权回调地址 ...
token机制的基本实现
weixin_30552635的博客
05-12 145
一、问题:在实现增加功能的时候发现没有数据也能提交,提交的数据是上一次的数据,造成数据重复的bug,此时需要使用token解决该问题。 二、实现token流程: 三、步骤思路: 1.根据上面的实现流程图,首先我们需要先定义那些方法需要创建和删除token    创建一个注解类:     关于自定义注解的相关知识可查看这篇博客:http://www.importnew.com/17413...
全栈项目|小书架|微信小程序-登录及token鉴权
龙衣
11-27 1192
小程序登录 之前也写过微信小程序登录的相关文章: 微信小程序~新版授权用户登录微信小程序-携带Token无感知登录的网络请求方案 微信小程序开通云开发并利用云函数获取Openid 也可以通过官方的这张时序图了解小程序的登录流程: 说明: 调用 wx.login() 获取 临时登录凭证code ,并回传到开发者服务器。 调用 auth.code2Session 接口,换取 用户唯一标识 ...
前端传递token的方式_前端鉴权知识学习
weixin_39713814的博客
12-28 7918
1、Cookie指某些网站为了辨别用户身份而储存在用户本地终端(Client Side)上的数据(通常经过加密)。HTTP是一种无状态传输协议,它不能以状态来区分和管理请求和响应。也就是说,服务器单从网络连接上无从知道客户身份。于是给客户端发布一个通行证—cookie来区分,这就是Cookie的工作原理。服务器通过response的set-cookie告诉客户端去写入cookie,后面的请求都会携...
token用户权限-前端权限控制-RBAC模型
gaogzhen的博客
01-25 3464
token用户权限-前端权限控制-RBAC模型 目录 文章目录1、登录和token携带1.1、 登录2、用户信息(权限信息)获取和存储***后记*** : 内容 完整的权限控制包括后端前端,这里我们先分析下前端。 1、登录和token携带 关于token的生成和解析,这里不再详述,可以看我上一篇博文,这里主要讲解下登录和登录成功后返回token. 1.1、 登录 登录流程: 前端发送登录表单:手机号+密码 未避免密码明文传输,这里我们直接md5加密 1. npm install js-
微信公众号开发根据UnionID获取用户信息
最新发布
01-07
### 通过 UnionID 获取微信公众号用户信息 为了利用 UnionID 来获取微信公众号中的用户信息,开发者需遵循特定流程来实现这一目标。UnionID 是指当同一开放平台账号下的不同应用被同一个微信用户关注或绑定时,这些应用间可以获取到该用户的统一标识符——即 UnionID。 #### 准备工作 确保已获得用户的同意并通过 OAuth2.0 授权码模式获得了 `code` 参数以及对应的 OpenID 和 Access Token。对于已经绑定了相同开放平台账户的应用程序来说,在获取到了某个用户的 OpenID 后还可以进一步得到其 UnionID[^2]。 #### 正确构建 API 请求 URL 一旦拥有了必要的参数(如 AppID, Secret, Code),就可以向微信服务器发送请求以换取 access_token: ```http GET https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code ``` 接着使用返回的结果中的 openid 或者 unionid 构建如下形式的信息查询URL: ```http GET https://api.weixin.qq.com/cgi-bin/user/info?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN ``` 如果要基于 UnionID 查询,则替换其中的 OPENID 字段为 UNIONID 即可[^1]。 需要注意的是,并不是所有的场景下都能直接拿到 UnionID;只有在同一开放平台内的多个应用之间共享数据时才会涉及到此字段。因此,在设计应用程序逻辑前应当确认当前环境是否满足条件[^3]。 另外值得注意的一点是在本地环境中调试可能会遇到一些权限上的限制,建议按照官方指南完成相应的配置调整以便顺利进行开发测试工作[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值