跳到主要内容

自定义登录态

什么是自定义登录态?

在小程序开发中,自定义登录态是指开发者根据业务需求,自行设计和管理的用户登录状态。与微信提供的默认登录态不同,自定义登录态允许开发者更灵活地控制用户的登录流程、会话管理和权限验证。

微信小程序提供了 wx.login 接口,用于获取用户的临时登录凭证(code),开发者可以将这个 code 发送到自己的服务器,换取用户的唯一标识(如 openidunionid)。在此基础上,开发者可以生成一个自定义的登录态(如 token),并将其返回给小程序端,用于后续的接口请求验证。

为什么需要自定义登录态?

  1. 安全性:自定义登录态可以结合加密算法和过期时间,增强用户身份的安全性。
  2. 灵活性:开发者可以根据业务需求,设计不同的登录态管理策略。
  3. 扩展性:自定义登录态可以与其他系统(如后台管理系统)无缝集成。

实现自定义登录态的步骤

1. 获取临时登录凭证(code)

在小程序端,调用 wx.login 接口获取临时登录凭证(code):

wx.login({
  success(res) {
    if (res.code) {
      console.log('获取到的 code:', res.code);
      // 将 code 发送到服务器
    } else {
      console.log('登录失败:', res.errMsg);
    }
  }
});

2. 服务器端换取用户标识

code 发送到开发者服务器,服务器通过微信接口换取用户的 openidsession_key

// 服务器端代码示例(Node.js)
const axios = require('axios');

async function getOpenId(code) {
  const appId = 'your-app-id';
  const appSecret = 'your-app-secret';
  const url = `https://api.weixin.qq.com/sns/jscode2session?appid=${appId}&secret=${appSecret}&js_code=${code}&grant_type=authorization_code`;

  const response = await axios.get(url);
  const { openid, session_key } = response.data;
  return { openid, session_key };
}

3. 生成自定义登录态(token)

服务器端生成一个自定义的登录态(如 JWT Token),并将其返回给小程序端:

const jwt = require('jsonwebtoken');

function generateToken(openid) {
  const secret = 'your-secret-key';
  const token = jwt.sign({ openid }, secret, { expiresIn: '7d' });
  return token;
}

4. 小程序端存储登录态

小程序端接收到服务器返回的 token 后,将其存储在本地(如 wx.setStorageSync):

wx.setStorageSync('token', token);

5. 验证登录态

在每次请求需要验证用户身份的接口时,小程序端将 token 附加到请求头中,服务器端验证 token 的有效性:

// 服务器端验证 token
function verifyToken(token) {
  const secret = 'your-secret-key';
  try {
    const decoded = jwt.verify(token, secret);
    return decoded;
  } catch (err) {
    return null;
  }
}

实际应用场景

场景 1:用户登录与权限验证

在小程序中,用户登录后,服务器生成一个 token 并返回给小程序端。后续的接口请求中,小程序端需要在请求头中携带 token,服务器端验证 token 的有效性后,才允许访问受保护的资源。

场景 2:会话管理与过期处理

自定义登录态可以设置过期时间(如 7 天),当 token 过期时,小程序端需要重新登录并获取新的 token。服务器端可以通过 token 的过期时间,自动清理无效的会话。

总结

自定义登录态是小程序开发中非常重要的一环,它能够帮助开发者更好地管理用户身份和会话状态。通过合理设计登录态的生成、存储和验证机制,可以显著提升小程序的安全性和用户体验。

附加资源与练习

  • 练习 1:尝试在小程序中实现完整的登录流程,包括获取 code、生成 token 和验证 token
  • 练习 2:为 token 添加更多的用户信息(如用户角色),并在服务器端进行权限验证。
  • 资源:阅读 JWT 官方文档 了解更多关于 JWT 的细节。
提示

在实际开发中,建议使用 HTTPS 协议传输敏感数据(如 codetoken),以确保数据的安全性。