前言
在初学微信公众号开发或者小程序开发的时候,可能我们对服务器如何校检用户身份有点迷糊,甚至有初学者开发者根本不去校验用户身份,安全性全靠自觉,这就很搞笑了。遗憾的是,腾讯没有把校验放在任何手册的显要位置讲解,所以,今天我整理一下小程序开发的服务器校验用户身份的流程。
基本原理
我们都知道微信网页和小程序登录是不需要输入账号密码的,它的登录原理最简单说就是:
有几台服务器需要了解一下:
a. 业务服务器,这个是属于开发者的。
b. 会话服务器,这个也属于开发者,当然你只有一台服务器也行,那么这台会话服务器可以合并到业务服务器。
c. 微信服务器,显然,属于腾讯。由微信APP保证用户身份,所以登录操作,要么是在微信网页/小程序中进行,要么是用微信APP扫码,总之脱离不了微信APP。至于说,微信APP怎么提供用户身份,那你不用管。
微信服务器会给A用户分配一个skey,这就是唯一的凭据。你的业务服务器数据库会存储A用户的skey和open_id,然后等着A用户发请求,A用户发的请求中会带有skey和open_id,服务器会去数据库校验,如果open_id和skey匹配成功,就是合法用户,若不成功,要么是skey过期,要么是非法用户。就这么简单。
详细解释
先阅读理解一下https://github.com/tencentyun/wafer/wiki/会话服务,这是一个WIKI知识。
这个知识说了2个事,一个是登录操作,一个是校验操作。
登录操作
你可以看到,登录操作相对较复杂,但是腾讯有办法帮你解决,你只需要使用腾讯官方提供的wafer2组件(有nodejs版本和php版本)即可,都帮你封装的妥妥的,也就是说,你不用管那一大堆箭头绕老绕去的请求、获取、解密、存储过程,你只需要使用wafer2组件即可。
使用wafer2之后,问题就简单多了,参看https://github.com/tencentyun/wafer2-client-sdk#会话服务,所以本文主要不是说登录操作的。
校验操作
这一步是重点,如果不校验,一个新手黑客可以一分钟之内拿到你网站所有用户内容,也可以冒充任何用户修改任何内容。
校验操作跟微信服务器无关,在使用wafer2组件之后,问题就简单到一行语句即可,https://github.com/tencentyun/wafer2-client-sdk#请求,我抄下来吧:
qcloud.request({
url: 'http://199447.qcloud.la/user',
success: function (response) {
console.log(response);
},
fail: function (err) {
console.log(err);
}
});
腾讯文档表示,该用户的skey会自动包含在请求头中。那我来验证一下:
从服务器打印一下请求头:
看到了吧,x-wx-skey就是我们要的skey。
当然了,范例代码中没有上传data,我们根据业务需求上传就好了,当然别忘了上传open_id。
之后,服务器拿请求头中的x-wx-skey和data中的open_id去数据库验证,就完事了。
本文并没有一步接一步教你实现代码,只是讲明流程,具体要根据你的业务来做,我只想说:
wafer2已经帮你干了98%的事情,你只需要根据文档写不超过20行代码,就能搞定登录和校验,你也只需要弄明白这2%是咋回事即可。
