企业微信登录流程
实现方式
使用js-sdk
使用 @wecom/jssdk 初始化企业微信登录组件。
为了满足网站定制化的需求,我们支持将企业微信登录组件内嵌到开发者的网站中。用户使用企业微信登录授权后,登录组件将 auth code 返回给网站。
企业微信登录组件主要用途:网站希望用户在网站内就能完成登录,无需跳转到企业微信域下登录后再返回,提升登录的流畅性与成功率。
使用:
使用企业微信 JS-SDK可查看官方文档,@wecom/jssdk >=1.3.1;
不再详述本篇主要介绍另一种实现方式。
效果如下:
扫码后就可获取到auth_code。
构造登录链接
同时支持通过构造链接的方式,在新窗口中打开企业微信登录页面,用户使用企业微信登录授权后通过将携带 auth code 跳转至指定的 redirect_uri。
开发流程
这里是我使用构造登录链接的开发流程。
登录授权
服务商登录授权
位置:服务商后台【开发配置】->【登录授权】。
登录授权与之前配置的应用指令回调和数据回调配置相同;但是不要使用同一个路由和方法。
登录授权回调解析
这里需要处理的是指令回调url的get和post处理响应。
Get回调处理把回调内容进行解密后返回给微信服务器,表示正确接收到回调。
Post回调处理接收登录授权各种事件回调的解析和处理:目前主要处理登录授权的ticket解密和保存。
控制器端
可以设置为同一入口,通过请求方法的不同,进行分别处理。
代码如下:
public function companyWxNotify()
{$all = request()->all();writeRecordLog('companyWechat.log', '数据回调' . request()->method());writeRecordLog('companyWechat.log', var_export($all, true));if (request()->isMethod('POST')) {$msg_signature = request()->input('msg_signature');$timeStamp = request()->input('timestamp');$nonce = request()->input('nonce');// post请求的密文数据$sReqData = file_get_contents('php://input');echo $this->wxService->notifyPOST($msg_signature, $timeStamp, $nonce, $sReqData);} else {// 获取参数$msg_signature = request()->input('msg_signature');$timeStamp = request()->input('timestamp');$nonce = request()->input('nonce');$echoStr = request()->input('echostr');echo $this->wxService->callbackGET($msg_signature, $timeStamp, $nonce, $echoStr);}die();
}业务层
Get回调处理把回调内容进行解密后返回给微信服务器,表示正确接收到回调。
Post回调处理接收登录授权各种事件回调的解析和处理:
目前主要处理登录授权的ticket解密和保存。
代码如下:
/*** 企业微信GET回调处理(URL地址校验)* @param $sVerifyMsgSig* @param $sVerifyTimeStamp* @param $sVerifyNonce* @param $sVerifyEchoStr* @return string*/
public function callbackGET($sVerifyMsgSig, $sVerifyTimeStamp, $sVerifyNonce, $sVerifyEchoStr)
{$sVerifyEchoStr = str_replace(" ", "+", $sVerifyEchoStr);$wxcpt = new \WXBizMsgCrypt(‘Token’, ‘EncodingAESKey’, ‘通用开发参数-CorpID’);// 调用验证函数$sEchoStr = "";$errCode = $wxcpt->VerifyURL($sVerifyMsgSig, $sVerifyTimeStamp, $sVerifyNonce, $sVerifyEchoStr, $sEchoStr);writeRecordLog('companyWechat.log', $sEchoStr);if ($errCode == 0) {return $sEchoStr;} else {return "ERR: " . $errCode;}
}/*** 企业微信-登录授权post回调解析* @param $sReqMsgSig* @param $sReqTimeStamp* @param $sReqNonce* @param $sReqData* @return string*/
public function notifyPOST($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData)
{try {$sMsg = ""; // 解析之后的明文$wxcpt = new \WXBizMsgCrypt(‘登录授权token’, ‘登录授权EncodingAESKey’, ‘登录授权SuiteID’);$errCode = $wxcpt->DecryptMsg($sReqMsgSig, $sReqTimeStamp, $sReqNonce, $sReqData, $sMsg);if ($errCode == 0) {// 解密成功,sMsg即为xml格式的明文writeRecordLog('companyWechat.log', "解密成功:\r\n" . var_export($sMsg, true));// TODO: 对明文的处理// 解析该xml字符串,利用simpleXMLlibxml_disable_entity_loader(true);//禁止xml实体解析,防止xml注入$xml = simplexml_load_string($sMsg, 'SimpleXMLElement', LIBXML_NOCDATA);switch ($xml->InfoType) {case 'suite_ticket': // 存储suite_ticket$log_desc = '登录授权-存储suite_ticket:' . $xml->SuiteTicket;self::$redisWechat->setLoginTicket($xml->SuiteTicket);break;default:$log_desc = '未知的类型:' . $xml->InfoType;break;}writeRecordLog('companyWechat.log', '解析日志:' . $log_desc);return 'success';} else {writeRecordLog('companyWechat.log', "ERR: " . $errCode . "\r\n");return "ERR: " . $errCode . "\r\n";}} catch (\Exception $e) {logUnit($e, 'wx_callback.log');return 'success';}
}构造企业微信登录链接
同时支持通过构造链接的方式,在新窗口中打开企业微信登录页面,用户使用企业微信登录授权后通过将携带 auth code 跳转至指定的 redirect_uri 。
请求地址
企业微信
参数说明
| 参数名 | 类型 | 必填 | 说明 |
| login_type | string | 是 | 登录类型。 ServiceApp:服务商登录;CorpApp:企业自建/代开发应用登录。 |
| appid | string | 是 | 第三方登录时填登录授权 SuiteID |
| agentid | string | 否 | 企业自建应用/服务商代开发应用 AgentID,当login_type=CorpApp时填写 |
| redirect_uri | string | 是 | 登录成功重定向 url 需进行 URLEncode |
| state | string | 否 | 登录 state 用于保持请求和回调的状态,授权请求后原样带回给企业。该参数可用于防止CSRF 攻击(跨站请求伪造攻击),建议带上该参数,可设置为简单的随机数加 session 进行校验 需进行 URLEncode |
| lang | string | 否 | 语言类型。zh:中文;en:英文。 |
返回说明
用户允许授权后,将会重定向到 redirect_uri 的网址上,并且在地址栏带上 code 和 state 参数可通过返回链接获取code。
示例
首先构造web登录链接,之后扫码同意登录;回调到设置的路由地址,并携带授权code。
代码如下:
/*** 测试登录授权-构造企业微信登录链接*/
public function createLoginUrl()
{$backUrl = getSolveUrl('/api/getLoginCode');$url = "https://login.work.weixin.qq.com/wwlogin/sso/login?login_type=ServiceApp&appid=登录授权SuiteID&redirect_uri={$backUrl}&state=STATE";echo '<a href="' . $url . '">点击获取code</a>';
}/*** 获取企业微信回调信息*/
public function getLoginCode()
{print_r(request()->input());
}登录流程模拟
1.首先访问登录链接
2.点击后出现授权二维码
3.同意登录获取授权code
企业微信扫码同意登录后,跳转至设置好路径,获取授权code。
4.获取用户身份信息实现登录
通过授权code获取登录用户身份信息然后再跟自定义网站的账号信息绑定,实现登录。
获取登录用户身份
通过授权code获取登录用户身份。
请求方式
GET(HTTPS)
请求地址
https://qyapi.weixin.qq.com/cgi-bin/service/auth/getuserinfo3rd?suite_access_token=SUITE_ACCESS_TOKEN&code=CODE
参数说明
| 参数 | 必须 | 说明 |
| suite_access_token | 是 | 服务商登录授权SuiteId对应的suite_access_token,参见“获取第三方应用凭证” 。不允许代开发自建应用调用。代开发自建应用获取用户身份参考“获取访问用户身份” |
| code | 是 | 通过成员授权获取到的code,最大为512字节。每次成员授权带上的code将不一样,code只能使用一次,5分钟未被使用自动过期。 |
业务代码
获取access_token加上前端传递的code去获取登录用户信息。
代码如下:
public function loginAccessToken()
{$url = "https://qyapi.weixin.qq.com/cgi-bin/service/get_suite_token";$params = json(['suite_id' => ‘登录授权suiteId’,'suite_secret' => ‘登录授权secret’,'suite_ticket' => self::$redisWechat->getLoginTicket()]);$info = $this->linkCurl($url, 'POST', $params);$res = djson($info);if (isset($res['errcode'])) {return toFail('error', $res);}$access_token = $res['suite_access_token'];return toSuccess('success', ['access_token' => $access_token]);
}/*** 请求接口返回内容* @param $url : 请求的URL地址* @param $method : 请求方式POST|GET* @param bool $params : 请求的参数* @param bool $header : 请求头* @return bool|string*/
protected function linkCurl($url, $method, $params = false, $header = false)
{$ch = curl_init();curl_setopt($ch, CURLOPT_CUSTOMREQUEST, $method);curl_setopt($ch, CURLOPT_URL, $url);//curl_setopt($ch, CURLOPT_HTTPHEADER, $header);curl_setopt($ch, CURLOPT_FAILONERROR, false);curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);if (strpos("$" . $url, "https://") == 1) {curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);}curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 60);curl_setopt($ch, CURLOPT_TIMEOUT, 60);if ($method == "POST") {curl_setopt($ch, CURLOPT_POST, true);curl_setopt($ch, CURLOPT_POSTFIELDS, $params);} else if ($params) {curl_setopt($ch, CURLOPT_URL, $url . '?' . http_build_query($params));}$response = curl_exec($ch);if ($response === FALSE) return false;curl_close($ch);return $response;
}/*** 获取企业微信用户信息* @param $code* @return array|mixed*/
public function getWxUserInfo($code,)
{if (empty($code)) {return toFail('请输入code参数!');}$get_access_token = $this->loginAccessToken();if ($get_access_token['status'] != 1) {return $get_access_token;}$access_token = $get_access_token['data']['access_token'];$url = "https://qyapi.weixin.qq.com/cgi-bin/service/auth/getuserinfo3rd?suite_access_token={$access_token}&code={$code}";$info = $this->linkCurl($url, 'GET');$res = djson($info);if ($res['errcode'] != 0) {return toFail($res['errmsg'], $res);}return toSuccess('success', $res);
}返回参数说明
| 参数 | 说明 |
| errcode | 返回码 |
| errmsg | 对返回码的文本描述内容 |
| corpid | 用户所属企业的corpid |
| userid | 用户在企业内的UserID,如果该企业与第三方应用没有授权关系时,返回密文UserId,有授权关系时,按照升级后的ID策略返回明文或密文 |
| open_userid | 全局唯一。对于同一个服务商,不同应用获取到企业内同一个成员的open_userid是相同的,最多64个字节。仅第三方应用可获取 |
注意:返回与网页授权登录内容相同,只是获取方式为登录授权的参数。
总结
企业微信web登录使用构建授权登录链接实现的全过程。
