最近在开发微信小程序时，被微信的登录流程坑了不少时间，特记录下，以便日后查询。

开发环境：

• 前端：React+typescript+Taro
• 后端：FastAPI（Python）

之前一直用node.js做后端开发，这是是我第一次使用python，在GPT的协助下，顺利的完成了各项功能。通过这次实践，证明了借助GPT，是可以用一个完全陌生的软件编程语言完成一个较为庞大的应用开发的。

微信小程序的登录流程

从2018年4月30日起，微信使用了新的登录流程，也就是类似于OIDC（OpenID Connect）的方式，见下图：

整个登录流程涉及到三方：

• 客户端（小程序）
• 开发者服务器，即运行开发者后台逻辑的服务器
• 微信的接口服务

准备工作：

• APP_ID和APP_SECRET：开发者需要在微信开发平台申请该应用的APP_ID和APP_SECRET，需要注意的是APP_SECRET只能保存在开发者服务器上，是绝对保密的，它和APP_ID的关系有点像公司钥，一一对应。
• JWT_SECRET：jwt密钥，即对微信登录后的数据进行加密，变成可以在网上传输的token。

登录流程和源码：

1- 在小程序内调用wx.login()方法(Taro中使用Taro.login())获取code

const loginResult = await Taro.login()
const code = loginResult.code

2- 小程序将code作为参数，调用开发者服务器上的登录API
服务器在获得前端发来的code后，把appid，appsecret和code一起，发送给微信接口服务，获得session_key和openid，组合成payload。代码如下：

from jose import JWTError, jwt
import requests
from datetime import datetime, timedelta

def weapp_exchange_oidc(code: str):
    appid = os.getenv("WEAPP_APP_ID")
    secret = os.getenv("WEAPP_APP_SECRET")
    url = f'https://api.weixin.qq.com/sns/jscode2session?appid={appid}&secret={secret}&js_code={code}&grant_type=authorization_code'
    response = requests.get(url)
    data = response.json()
    payload = {
        "openid": data['openid'],
        "session_key": data['session_key'],
        "appid": appid,
        "exp": datetime.now() + timedelta(minutes=60*24*30) //登录时效
    }

3- 自定义登录状态
即将payload用jwt密钥进行加密，获得token，在上述函数中，继续添加如下代码：

    token = jwt.encode(payload, os.getenv('JWT_SECRET_KEY'), algorithm='HS256')

注：做jwt加密时，使用HS256算法

4- 返回自定义登录状态
将token返回给前端，在上述函数中，继续添加如下代码：

    return {"success": True, "token": token, "openid": data['openid']}

5- 在前端将token保存在本地

Taro.setStorageSync("wx_token", res.data.token);

6- 之后，每次发起API请求，都携带上token作为参数

7- 服务器验证token并执行业务逻辑
在服务器上的每个API方法都需要验证token（也有些公共API不需要验证）。
验证方法weapp_verify_token中使用jwt.decode方法，用JWT密钥将之前加密的payload解秘，并且比较有效期。如果检验通过，则继续业务逻辑。

# 验证访问令牌
def weapp_verify_token(token: str, credentials_exception):
    try:
        payload = jwt.decode(token, os.getenv('JWT_SECRET_KEY'), audience=os.getenv('WEAPP_APP_ID'), algorithms=['HS256'])
        expired = datetime.now().timestamp() > payload['exp']
        if expired:
            raise credentials_exception
    except JWTError:
        raise credentials_exception
    return {"openid": payload['openid'], "exp": payload['exp'], "appid": payload['appid']}

def protected_route(token: str):
    credentials_exception = HTTPException(status_code=401, detail={"success": False, "message": "Invalid authentication credentials"})
    data = weapp_verify_token(token, credentials_exception)

    // 继续业务逻辑，并返回结果

好了，整个流程梳理下来不复杂，但第一次搞的时候，整整花了一天时间。

本文由博客一文多发平台 OpenWrite 发布！