小程序登陆和登陆状态维护

1.客户端调用 wx.login() ，获得返回参数 code

2.客户端调用 wx.request() 将 code 发送到服务器

3.服务器将 code 和存储在服务器的 appid 和 appSecret 共三个参数作为请求参数加入URL，向下面的微信服务器接口发起请求:

https://api.weixin.qq.com/sns/jscode2session?appid=APPID&secret=SECRET&js_code=JSCODE&grant_type=authorization_code

服务器会获得返回参数 openid 和 session_key 。这两个数据主要用在支付，数据签名，数据解密等与用户登陆态和标识有关的逻辑中。

openid是用户唯一标识，但不建议直接用做后端服务器的各用户标示符。

session_key 是针对用户数据进行加密签名的密匙。session_key在文件校验，获取用户具体信息时均需使用

一般为了安全起见，这两个数据都不会发往客户端。

4.服务器应使用 openid 和 session_key 生成 3rd_session ，作为服务器派发给用户的登陆态标识token，用于用户的权限和数据管理。将其发送到小程序客户端。

5.小程序客户端将 3rd_session 存入 storage中。

6.后续用户进入小程序时，首先调用 wx.checkSession() 检测登陆态，如果失败，重新发起登陆流程。

ps.微信文档中说明使用 wx.checkSession() 来进行用户登陆态的时间管理，使开发者无需再开发用户登陆态时间管理逻辑，但实际开发中，wx.checkSession存在延迟，导致用户刚进入小程序时比较卡，所以建议开发者仍然自己去处理用户的登陆态过期时间管理，根据用户的token来使用相关逻辑进行处理。

7.如果检测用户登陆状态未失效，则从 storage 中读取 3rd_session。在需要用户标识的 wx.request() 时作为用户标识发送到服务器检验,服务器判断其是否合法。

ps.在生成 3rd_session 时，将 3rd_session 作为键，将 session_key + openid 作为值，存储在 服务器的 session 存储或数据库中。每个3rd_session都需要设置一个失效时间用来进行用户登陆态管理。

获取用户信息

微信官方禁止无必要的获取用户信息，尤其是在用户刚进入小程序时。开发者最好在需要时再调用接口获取用户信息，保证小程序的审核通过。

获取用户信息主要有以下要点：

根据微信请求用户信息接口wx.getUserinfo()函数的请求参数withCredentials的布尔值及用户的登陆状态不同，会有不同的返回值。

1.当withCredentials 为 true 且 用户登陆态未到期

返回的数据会包括 encryptedData，iv等敏感数据。

请求用户信息返回数据项如下：

1. userinfo 不包含敏感数据的用户信息
2. rawData 不包含敏感数据的原始数据字符串,用于签名校验
3. signature。 使用sha1( rawData + sessionkey ) 得到的字符串，用于签名校验数据
4. encryptedData 包含 openId，unionId 等用户敏感数据的加密数据
5. iv 加密算法的初始向量

2.当withCredentials 为 false 时

不要求登陆状态，返回数据不包含敏感数据，只包含用户的基本信息 userinfo 和 校验数据的rowData。

小程序的数据签名校验和数据解密

顺便提一下小程序的签名校验和数据解密

签名校验(用于校验数据完整性等)：

需要使用session_key。客户端将 signature 和 rawData 发送到服务器，服务器通过相同的 sha1( rewData + session_key) 算法计算出 signature2，并与客户端发送过来的signature对比，校验数据完整性。

加密数据encryptedData的解密：

需要客户端将接口返回的encryptedData发送到服务器，服务器使用 appId 和 session_key ，根据加密算法的初始向量 iv 对 encryptedData 进行解密（微信提供有后端解密代码，包括python，php等(无java)