前言

做微信小程序或公眾號(hào)開(kāi)發(fā)，有時(shí)我們?yōu)榱斯芾碛脩?，需要獲取用戶的openid，unionId等信息。這時(shí)會(huì)用到微信提供的接口：code2Session。

code2Session接口以code ( code是前端調(diào)用wx.login接口獲取的 ) 為參數(shù)之一，調(diào)用成功可返回openid和session_key。openid是小程序用戶的唯一標(biāo)識(shí)；session_key可作為秘鑰，對(duì)wx.getUserInfo接口獲取的加密數(shù)據(jù)進(jìn)行解密，解密之后可以獲取到用戶的unionId，unionId是同主體 ( 綁定了同一個(gè)開(kāi)放平臺(tái)賬號(hào)）下微信用戶的唯一標(biāo)識(shí)。

在實(shí)際開(kāi)發(fā)中，相信很多人在調(diào)接口時(shí)都遇到過(guò)這種錯(cuò)誤：invalid code或code been used。歸根結(jié)底是沒(méi)搞清楚微信的登錄機(jī)制，在代碼邏輯上出了問(wèn)題。前端頻繁調(diào)用wx.login接口或后端頻繁調(diào)用code2Session接口都有可能導(dǎo)致這些錯(cuò)誤。

什么是登錄狀態(tài)？

當(dāng)用戶進(jìn)入小程序是有 登錄狀態(tài)一說(shuō)的，在登錄狀態(tài)有效期內(nèi)什么是不變的呢？session_key！

登錄狀態(tài)有效期內(nèi)，session_key是不會(huì)變化的，即使你重新調(diào)用wx.login接口獲取新的code，用新code傳給后臺(tái)去獲取session_key，你會(huì)發(fā)現(xiàn)獲取的 session_key跟上次是一樣的。

我們可以在后臺(tái)保存session_key，在登錄狀態(tài)有效期內(nèi)，就無(wú)需再次調(diào)用code2Session接口去獲取session_key了。

那么，如何檢測(cè)登錄狀態(tài)是否有效？
前端調(diào)用wx.checkSession接口，可查詢用戶當(dāng)前登錄狀態(tài)是否有效。

wx.checkSession({
success() { // 登錄狀態(tài)有效回調(diào)
 },
fail() {  // 登錄狀態(tài)失效回調(diào)

}


})

什么情況下會(huì)報(bào)code been used(40163)？
在登錄狀態(tài)有效期內(nèi)，后臺(tái)用同一個(gè)code，多次調(diào)用code2Session接口就會(huì)報(bào)code been used(40163)錯(cuò)誤。

什么情況下會(huì)報(bào)invalid code(40029)？
前端每次調(diào)用wx.login接口會(huì)導(dǎo)致code刷新，若后臺(tái)沒(méi)有及時(shí)獲取到新的code，用老的code去調(diào)接口，會(huì)報(bào)錯(cuò)。
后臺(tái)代碼邏輯問(wèn)題：誤改了前端傳過(guò)來(lái)的code，會(huì)報(bào)錯(cuò)。

如何正確的處理代碼邏輯？

前端可以頻繁的調(diào)用wx.login接口，但每次調(diào)用要及時(shí)通知后端。這樣后端也可以頻繁的調(diào)用code2Session接口，只要用的最新code就不會(huì)報(bào)錯(cuò)。但既然我們知道了在登錄有效期這個(gè)說(shuō)法，為什么要頻繁調(diào)接口呢？可以參考下面這種方式，也是筆者在實(shí)際項(xiàng)目中的鑒權(quán)機(jī)制： unionId+token雙重校驗(yàn) ↓

1、 假設(shè)用戶第一次進(jìn)小程序，調(diào)用wx.checkSession檢測(cè)必然為登錄狀態(tài)失效，我們可以用valid這個(gè)參數(shù)表示登錄狀態(tài)。調(diào)用wx.login接口獲取code，調(diào)用getUserInfo接口獲取加密數(shù)據(jù)，并把如下參數(shù)傳給后臺(tái)：{code:—,encryptedData:—,iv—,valid:false}，后臺(tái)發(fā)現(xiàn)valid為false的時(shí)候，就通過(guò)code獲取session_key，再通過(guò)session_key解密出unionId，校驗(yàn)unionId是不是合法用戶，如果合法，就用這個(gè)unionId生成一個(gè)token返回給前端，前端將token存入緩存。

2、 校驗(yàn)成功，小程序就可以進(jìn)入主頁(yè)面了，后續(xù)的業(yè)務(wù)接口都把token放在請(qǐng)求頭里，后臺(tái)校驗(yàn)token是否合法。若發(fā)現(xiàn)token無(wú)效，就給前端返回你們協(xié)商好的錯(cuò)誤碼，前端跳轉(zhuǎn)至登錄頁(yè)面（帶參跳轉(zhuǎn)：tokenInvalid：1），登錄頁(yè)面發(fā)現(xiàn)帶有參數(shù)tokenInvalid時(shí)，即使wx.checkSession檢查登錄狀態(tài)有效，我們也要重新獲取code，加密數(shù)據(jù)，并把valid強(qiáng)制設(shè)為false，讓后端重新校驗(yàn)，類似步驟1。這個(gè)邏輯就是處理token失效的情況的。（token是我們自定義的，后臺(tái)可以對(duì)其設(shè)置有效期，比如1個(gè)月。）