小程序验证签名(登录)的流程（含解答的最佳实践）

但是微信方面开发，支持是出了名的难找！！大概比使用开源的东西提issues还难，效率还低

哈哈，也是没办法，一开始提的有点情绪，但作为开发者，确实是想切切实实的能解决问题，不管是哪一方的问题，开发者千千万万，总归会有各种重复的或者甚至在他们眼里是弱智的问题，但从开发者角度讲，还是希望能得到有效的帮助，而不是互嘲，总之我相信，不管谁写的代码，总有错的。当然你提到的，很多人提到的为什么基本都没回复的，我想下面的截图多多少少能解释下这个问题：

蹭个热点，这个需求可以考虑一下。需求地址：https://developers.weixin.qq.com/community/develop/doc/000a8e3618c1d03f2357c59b757800

哈哈，是的，官方文档是写了只有5分钟，所以现在就是直接每次appload就login换sessionkey，session不会5分钟的，是保证本次启动小程序都是有效的。至少官方是这么回答的。

code的有效期不是只有5分钟吗?

所以Link说了最佳实践，或者像陈建才sama所说，不管三七二十一，你appload的时候直接wx.login获取最新的code，保存下来，接下来小程序能保证，在小程序没关闭之前，这个code一直是有效的，等同于session是有效的，这样你只要一直用这个code去后台换取sessionkey就行了。当然这过程中，不管是你用button点击获取到的userInfo还是直接wx.getUserInfo获取的UserInfo，通通都是有效的。

这么冗余的流程非常不合理

你在回调里直接wx.login导致code改变，等同于session改变，而回调函数onGetUserInfo里返回给你的userInfo的签名是使用你wx.login之前的sessionkey加密的签名，所以肯定会不行，但是个人觉得，你可以在wx.login之后（当然wx.login还是写在了回调函数onGetUserInfo），在直接调用下wx.getUserInfo获取下最新签名的UserInfo，应该是可以的，当然这很明显不是最佳实践。

是的

在进入小程序的时候调用wx.login，意思是不能在回调函数onGetUserInfo里面调用wx.login，是吗?

参考我上面的回复，会有问题。建议是在进入小程序的时候调用wx.login/wx.checkSession。

我有一个比较急的疑问

明白了，非常感谢。所有疑问都得到了解答，谢谢。

一次wx.login/wx.checkSession之后，都可以保证在小程序结束运行之前session_key不过期。

补充下，其实问题的核心就是您的建议这一条，个人感觉没法100%的做到。

非常感谢您的回答，让我更清晰的理解了这个问题。但是还是非常抱歉，就像“f番茄花园”所说的，问题依然存在，核心还是在第一次我想获取getUserInfo，必须是通过按钮的，让用户主动的授权。那还是这样的问题，为了保证用户第一次点击这个按钮获取的UserInfo有效，势必需要在用户点击按钮前先wx.login，保证codesessionkey等有效。正因为如此，wx.login我可以控制，比如像“f番茄花园”所说，我小程序一加载，就去login获取有效的code，但问题是getUserInfo不受程序控制，必须由用户触发，比如就是过了很久（反正就是session已过期），用户第一次去点了getUserInfo按钮，那么这个时候拿到的用户签名肯定是无效的，验签肯定失败，而geUserInfo我们只能控制按钮的点击回调，我们无法在用户点击前（或者准确的说，正好要点击前，或者叫点击了，但是在回调函数执行前）我们做一次checkSeesion的动作，如果seesion过期，我们就login下，就是这种情况是我们目前没法做到的。导致用户第一次点击授权获取其用户信息时，验签失败。而程序只能在接收到失败后，再wx.login一次，然后再“暗暗”的wx.getUserInfo调用获取正确的签名（因为用户已经点击按钮，授权已经可以，可以直接调用wx.getUserInfo了，是这样吗？因为暂时也没做这个测试，按文档理解是这样的，只是不知道签名有误的算不算授权了？），再验证签名？是吗？还是我理解有误，有其他方式？谢谢。

控制台警告开发工具和体验版似乎都有但是线上版本有没有我就不是很清楚了……

你说的是什么警告？

也就是说，为了逻辑比较统一的话，我可以认为，button为getUserInfo模式下的时候，其实重点是获取授权，给了用户信息只是捎带手做的事情对吧……

补充说明一点：wx.getUserInfo并不是直接废弃，只是废弃了其首次获得用户授权的能力。如果已经通过button得到用户的授权（可通过wx.getSetting判断），后续都是可以直接用wx.getUserInfo接口不弹窗获取到用户信息的。

那么……我倒是有问题了

这个问题我来回答一下主。

实在不好意思，对于您的解答我还是有个疑问，需要麻烦问下。就是您说的1和2步骤，我不知道会不会出现这样的情况，就是我完成1步骤后，出于某种原因（因为至少目前开发者是没法获知以及控制sessionkey的有效期的），sessionkey过期了，然后现在开始执行步骤2，那么我拿到的用户签名肯定也是无效的，对吗？这样我去验签肯定会失败。而因为目前小程序wx.getUserInfo必须通过<buttonopen-type="getUserInfo"></button>这样的形式，让用户主动点击才能获取对吗？就算是wx.authorize({scope:"scope.userInfo"})，也无法弹出授权窗口。这样问题就来了，为了验证签名，如果这种情况发生，是不是势必需要用户第二次点击这个按钮才能正确验签？如果这样的话，体验就很差了，还是说，我始终哪里没搞明白？麻烦帮忙解答下，谢谢。

非常感谢您的回答，那问题应该就是我步骤错了，我是先wx.getUserInfo拿到signature，然后再wx.login+jscode2session拿到session_key，最后才验签的，您说的1，2我反掉了。非常感谢。

之前通过`wx.getUserInfo()`获取用户信息时，它有个前提条件要求先`wx.login()`而且未过期。现在换成通过按钮触发的形式后，是在哪一个阶段获取授权code呢？是在点击按钮之前就要获取到code？还是在bindgetuserinfo的回调函数内部获取code？

刚测试了下，这个问题可以解决了，就是不要直接拿回调函数里给的UserInfo，而是在回调函数里自己先判断下seesion是否过期，过期了可以直接wx.getUserInfo的。在回调函数里，已经有权限直接调用wx.getUserInfo了。虽然感觉奇怪了点，但是这个问题确实就可以完美解决了。

我们问的应该是同一个问题，在回调里再获取code，此时的UserInfo很可能就已经是无效的了。但是不知道能否直接在回调函数里，直接再wx.getUserInfo一次，如果可以，这个问题也能暂时完美的解决掉，马上测试下，呵呵。

我有一个比较急的疑问

抱歉，补上解密部分，就2句话，

谢谢，抱怨提问我是承认的，因为个人感觉，你们既然已经有了这么好的经验，也看到了别人的问题，为什么不直接回答下呢？而是直接忽略？或者你们针对这样“线上线下我们定位过非常多次”的问题，有什么相关的排查文档可以查看？我相信，专业我们这些无知的开发者也不会让你们感到厌烦不是吗？我还是想说下自己的看法，虽然可能还是错的，也不怕您的耻笑。

刷新下页面，我修改了回答。