企业微信登录流程
实现方式
使用js-sdk
使用 @wecom/jssdk 初始化企业微信登录组件。
为了满足网站定制化的需求,我们支持将企业微信登录组件内嵌到开发者的网站中。用户使用企业微信登录授权后,登录组件将 auth code 返回给网站。
企业微信登录组件主要用途:网站希望用户在网站内就能完成登录,无需跳转到企业微信域下登录后再返回,提升登录的流畅性与成功率。
使用:
使用企业微信 JS-SDK可查看官方文档,@wecom/jssdk >=1.3.1;
不再详述本篇主要介绍另一种实现方式。
效果如下:
扫码后就可获取到auth_code。
构造登录链接
同时支持通过构造链接的方式,在新窗口中打开企业微信登录页面,用户使用企业微信登录授权后通过将携带 auth code 跳转至指定的 redirect_uri。
开发流程
这里是我使用构造登录链接的开发流程。
登录授权
服务商登录授权
位置:服务商后台【开发配置】->【登录授权】。
登录授权与之前配置的应用指令回调和数据回调配置相同;但是不要使用同一个路由和方法。
登录授权回调解析
这里需要处理的是指令回调url的get和post处理响应。
Get回调处理把回调内容进行解密后返回给微信服务器,表示正确接收到回调。
Post回调处理接收登录授权各种事件回调的解析和处理:目前主要处理登录授权的ticket解密和保存。
控制器端
可以设置为同一入口,通过请求方法的不同,进行分别处理。
代码如下:
public function companyWxNotify()
{
$all = request()->all();
writeRecordLog('companyWechat.log', '数据回调' . request()->method());
writeRecordLog('companyWechat.log', var_export($all, true));
if (request()->isMethod('POST')) {
$msg_signature = request()->input('msg_signature');
$timeStamp = request()->input('timestamp');
$nonce = request()->input('nonce');
// post请求的密文数据
$sReqData = file_get_contents('php://input');
echo $this->wxService->notifyPOST($msg_signature, $timeStamp, $nonce, $sReqData);
} else {
// 获取参数
$msg_signature = request()->input('msg_signature');
$timeStamp = request()->input('timestamp');
$nonce = request()->input('nonce');
$echoStr = request()->input('echostr');
echo $this->wxService->callbackGET($msg_signature, $timeStamp, $nonce, $echoStr);
}
die();
}业务层
Get回调处理把回调内容进行解密后返回给微信服务器,表示正确接收到回调。
Post回调处理接收登录授权各种事件回调的解析和处理:
目前主要处理登录授权的ticket解密和保存。
代码如下:
/**
* 企业微信GET回调处理(URL地址校验)
* @param $sVerifyMsgSig
* @param $sVerifyTimeStamp
* @param $sVerifyNonce
* @param $sVerifyEchoStr
* @return string
*/
public function callbackGET($sVerifyMsgSig, $sVerifyTimeStamp, $sVerifyNonce, $sVerifyEchoStr)
{
$sVerifyEchoStr = str_replace(" ", "+", $sVerifyEchoStr);
$wxcpt = new \WXBizMsgCrypt(‘Token’, ‘EncodingAESKey’, ‘通用开发参数-CorpID’);
// 调用验证函数
$sEchoStr = "";
$errCode = $wxcpt->VerifyURL($sVerifyMsgSig, $sVerifyTimeStamp, $sVerifyNonce, $sVerifyEchoStr, $sEchoStr);
writeRecordLog('companyWechat.log', $sEchoStr);
if ($errCode == 0) {
return $sEchoStr;
} else {
return "ERR: " . $errCode;
}
}
/**
* 企业微信-登录授权post回调解析
* @param $sReqMsgSig
* @param $sReqTimeStamp
* @param $sReqNonce
* @param $sReqData
* @return string
*/
public function notifyPOST($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData)
{
try {
$sMsg = ""; // 解析之后的明文
$wxcpt = new \WXBizMsgCrypt(‘登录授权token’, ‘登录授权EncodingAESKey’, ‘登录授权SuiteID’);
$errCode = $wxcpt->DecryptMsg($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData, $sMsg);
if ($errCode == 0) {
// 解密成功,sMsg即为xml格式的明文
writeRecordLog('companyWechat.log', "解密成功:\r\n" . var_export($sMsg, true));
// TODO: 对明文的处理
// 解析该xml字符串,利用simpleXML
libxml_disable_entity_loader(true);
//禁止xml实体解析,防止xml注入
$xml = simplexml_load_string($sMsg, 'SimpleXMLElement', LIBXML_NOCDATA);
switch ($xml->InfoType) {
case 'suite_ticket': // 存储suite_ticket
$log_desc = '登录授权-存储suite_ticket:' . $xml->SuiteTicket;
self::$redisWechat->setLoginTicket($xml->SuiteTicket);
break;
default:
$log_desc = '未知的类型:' . $xml->InfoType;
break;
}
writeRecordLog('companyWechat.log', '解析日志:' . $log_desc);
return 'success';
} else {
writeRecordLog('companyWechat.log', "ERR: " . $errCode . "\r\n");
return "ERR: " . $errCode . "\r\n";
}
} catch (\Exception $e) {
logUnit($e, 'wx_callback.log');
return 'success';
}
}构造企业微信登录链接
同时支持通过构造链接的方式,在新窗口中打开企业微信登录页面,用户使用企业微信登录授权后通过将携带 auth code 跳转至指定的 redirect_uri 。
请求地址
参数说明
| 参数名 |
类型 |
必填 |
说明 |
| login_type |
string |
是 |
登录类型。 ServiceApp:服务商登录;CorpApp:企业自建/代开发应用登录。 |
| appid |
string |
是 |
第三方登录时填登录授权 SuiteID |
| agentid |
string |
否 |
企业自建应用/服务商代开发应用 AgentID,当login_type=CorpApp时填写 |
| redirect_uri |
string |
是 |
登录成功重定向 url 需进行 URLEncode |
| state |
string |
否 |
登录 state 用于保持请求和回调的状态,授权请求后原样带回给企业。该参数可用于防止CSRF 攻击(跨站请求伪造攻击),建议带上该参数,可设置为简单的随机数加 session 进行校验 需进行 URLEncode |
| lang |
string |
否 |
语言类型。zh:中文;en:英文。 |
返回说明
用户允许授权后,将会重定向到 redirect_uri 的网址上,并且在地址栏带上 code 和 state 参数可通过返回链接获取code。
示例
首先构造web登录链接,之后扫码同意登录;回调到设置的路由地址,并携带授权code。
代码如下:
/**
* 测试登录授权-构造企业微信登录链接
*/
public function createLoginUrl()
{
$backUrl = getSolveUrl('/api/getLoginCode');
$url = "https://login.work.weixin.qq.com/wwlogin/sso/login?login_type=ServiceApp&appid=登录授权SuiteID&redirect_uri={$backUrl}&state=STATE";
echo '<a href="' . $url . '">点击获取code</a>';
}
/**
* 获取企业微信回调信息
*/
public function getLoginCode()
{
print_r(request()->input());
}登录流程模拟
1.首先访问登录链接
2.点击后出现授权二维码
3.同意登录获取授权code
企业微信扫码同意登录后,跳转至设置好路径,获取授权code。
4.获取用户身份信息实现登录
通过授权code获取登录用户身份信息然后再跟自定义网站的账号信息绑定,实现登录。
获取登录用户身份
通过授权code获取登录用户身份。
请求方式
GET(HTTPS)
请求地址
参数说明
| 参数 |
必须 |
说明 |
| suite_access_token |
是 |
服务商登录授权SuiteId对应的suite_access_token,参见“获取第三方应用凭证” 。不允许代开发自建应用调用。代开发自建应用获取用户身份参考“获取访问用户身份” |
| code |
是 |
通过成员授权获取到的code,最大为512字节。每次成员授权带上的code将不一样,code只能使用一次,5分钟未被使用自动过期。 |
业务代码
获取access_token加上前端传递的code去获取登录用户信息。
代码如下:
public function loginAccessToken()
{
$url = "https://qyapi.weixin.qq.com/cgi-bin/service/get_suite_token";
$params = json([
'suite_id' => ‘登录授权suiteId’,
'suite_secret' => ‘登录授权secret’,
'suite_ticket' => self::$redisWechat->getLoginTicket()
]);
$info = $this->linkCurl($url, 'POST', $params);
$res = djson($info);
if (isset($res['errcode'])) {
return toFail('error', $res);
}
$access_token = $res['suite_access_token'];
return toSuccess('success', [
'access_token' => $access_token
]);
}
/**
* 请求接口返回内容
* @param $url : 请求的URL地址
* @param $method : 请求方式POST|GET
* @param bool $params : 请求的参数
* @param bool $header : 请求头
* @return bool|string
*/
protected function linkCurl($url, $method, $params = false, $header = false)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_CUSTOMREQUEST, $method);
curl_setopt($ch, CURLOPT_URL, $url);
//curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
curl_setopt($ch, CURLOPT_FAILONERROR, false);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if (strpos("$" . $url, "https://") == 1) {
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
}
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 60);
curl_setopt($ch, CURLOPT_TIMEOUT, 60);
if ($method == "POST") {
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $params);
} else if ($params) {
curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($params));
}
$response = curl_exec($ch);
if ($response === FALSE) return false;
curl_close($ch);
return $response;
}
/**
* 获取企业微信用户信息
* @param $code
* @return array|mixed
*/
public function getWxUserInfo($code,)
{
if (empty($code)) {
return toFail('请输入code参数!');
}
$get_access_token = $this->loginAccessToken();
if ($get_access_token['status'] != 1) {
return $get_access_token;
}
$access_token = $get_access_token['data']['access_token'];
$url = "https://qyapi.weixin.qq.com/cgi-bin/service/auth/getuserinfo3rd?suite_access_token={$access_token}&code={$code}";
$info = $this->linkCurl($url, 'GET');
$res = djson($info);
if ($res['errcode'] != 0) {
return toFail($res['errmsg'], $res);
}
return toSuccess('success', $res);
}返回参数说明
| 参数 |
说明 |
| errcode |
返回码 |
| errmsg |
对返回码的文本描述内容 |
| corpid |
用户所属企业的corpid |
| userid |
用户在企业内的UserID,如果该企业与第三方应用没有授权关系时,返回密文UserId,有授权关系时,按照升级后的ID策略返回明文或密文 |
| open_userid |
全局唯一。对于同一个服务商,不同应用获取到企业内同一个成员的open_userid是相同的,最多64个字节。仅第三方应用可获取 |
注意:返回与网页授权登录内容相同,只是获取方式为登录授权的参数。
总结
企业微信web登录使用构建授权登录链接实现的全过程。