网页授权

1、获取access_token

https请求方式: GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET

(1)、grant_type=client_credential固定搭配

(2)、appid，secret 公众号：开发->基本配置

{"access_token":"ACCESS_TOKEN","expires_in":7200}

{"errcode":40013,"errmsg":"invalid appid"}

(3)、获取用户信息

https请求方式: GET https://api.weixin.qq.com/cgi-bin/user/info?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

(4)、openid普通用户的标识，对当前公众号唯一

2、网页授权

a、这里有两种access_token ，网页授权access_token & 普通access_token

区别：

​ (1)、微信网页授权是通过OAuth2.0机制实现的，用户授权给公众号(用户与公众号进行消息交互和关注后的时间推送)，公众号会获取一个特有的调用凭证(网页授权access_token)，通过该凭证可以进行授权后的接口调用：用户基本信息的获取；获取次数没有限制，与微信用户是一对一关系。

​ (2)、其他接口，需要上面的获取access_token接口来获取普通的access_token，每天获取最多次数为2000次，可以获取所有用户信息。

​ (3)、两者有效时间都是7200s。

产生的疑问： 既然通过普通access_token可以获取用户信息，那为什么还要网页授权access_token呢？

​ 理解：防止未关注公众号的用户信息的泄露，公众号B想获取用户A的基本信息，（A关注了B），一般来说，B提供一个凭证(普通的access_token)，A提供一个标识（openid），这样就能获取A的基本信息了。此时若是公众号C想要获取A的信息，（A未关注C）,这样就造成的A的信息泄露。所以安全的做法就是让用户去决定谁有查看自己私密信息的权限，这个权限就是网页授权access_token。

b、两种scope，snsapi_base & snsapi_userinfo

​ (1)、以snsapi_base为scope发起的网页授权，是用来获取进入页面的用户的openid的，并且是静默授权并自动跳转到回调页的。用户感知的就是直接进入了回调页（往往是业务页面）

​ (2)、以snsapi_userinfo为scope发起的网页授权，是用来获取用户的基本信息的。但这种授权需要用户手动同意，并且由于用户同意过，所以无须关注，就可在授权后获取该用户的基本信息。

c、网页授权流程

​ (1)、用户请求公众号，公众号回调授权，用户同意授权，并且获取code

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

• scope：snsapi_base，snsapi_userinfo
• response_type：code
• 如果用户同意授权，页面将跳转至 redirect_uri/?code=CODE&state=STATE。

​ (2)、根据code去获取access_token ，

获取access_token： https://api.weixin.qq.com/sns/oauth2/access_token?appid=APPID&secret=SECRET&code=CODE&grant_type=authorization_code

如果网页授权的作用域为snsapi_base，则本步骤中获取到网页授权access_token的同时，也获取到了openid，snsapi_base式的网页授权流程即到此为止。

• secret：公众号的appsecret
• code：上一步的code
• grant_type：authorization_code

{
  "access_token":"ACCESS_TOKEN",
  "expires_in":7200,
  "refresh_token":"REFRESH_TOKEN",
  "openid":"OPENID",
  "scope":"SCOPE" 
}

​ (3)、检验授权凭证（access_token）是否有效

http：GET（请使用https协议） https://api.weixin.qq.com/sns/auth?access_token=ACCESS_TOKEN&openid=OPENID

{ "errcode":0,"errmsg":"ok"}

{ "errcode":40003,"errmsg":"invalid openid"}

​ (4)、考虑到access_token时效的问题可使用上一步获取的refresh_token 进行token刷新，refresh_token 有效期30天

刷新access_token： https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

• grant_type：填写为refresh_token
• refresh_token：填写通过access_token获取到的refresh_token参数

​ (5)、 拉取用户信息(需scope为 snsapi_userinfo)

http：GET（请使用https协议） https://api.weixin.qq.com/sns/userinfo?access_token=ACCESS_TOKEN&openid=OPENID&lang=zh_CN

{   
  "openid":" OPENID",
  "nickname": NICKNAME,
  "sex":"1",
  "province":"PROVINCE",
  "city":"CITY",
  "country":"COUNTRY",
  "headimgurl":"https://thirdwx.qlogo.cn/mmopen/g3MonUZtNHkdmzicIlibx6iaFqAc56vxLSUfpb6n5WKSYVY0ChQKkiaJSgQ1dZuTOgvLLrhJbERQQ4eMsv84eavHiaiceqxibJxCfHe/46",
  "privilege":[ "PRIVILEGE1" "PRIVILEGE2"     ],
  "unionid": "o6_bmasdasdsad6_2sgVt7hMZOPfL"
}

有误之处，还请指正。