微信應用的一個很大的優勢就在于使用過程中是不需要進行注冊和顯式登錄的，大部分問題基本上可以一鍵解決。但是在授權、登錄和獲取用戶信息的過程中都發生了哪些事情，今天我們就來討論一下。這篇文章主要分析小程序登錄與授權區別：

1授權和登錄的區別

首先必須要明白，授權和登錄實際上是兩個操作。

1.1 授權(已廢棄)

那授權的作用是啥呢?從小程序官方文檔中我們可以看到授權操作只需通過wx.authorize() 接口便可以完成，以下是文檔中對授權操作的描述：

提前向用戶發起授權請求。調用后會立刻彈窗詢問用戶是否同意授權小程序使用某項功能或獲取用戶的某些數據，但不會實際調用對應接口。如果用戶之前已經同意授權，則不會出現彈窗，直接返回成功。

也就是說，授權過程實際上只是在小程序前端獲得了操作部分wx 接口的訪問許可，這個過程實際上是不會與開發者服務器發生任何關系的。那這些訪問許可包含哪些內容呢?再來看微信官方提供的scope 列表：

注：新版api已廢棄wx.authorize()，具體信息查看https://developers.weixin.qq.com/miniprogram/dev/api/open.html

1.2 登錄

所謂的登錄就是要讓開發者服務器知道當前的用戶是誰?在傳統的web 應用中，我們必須要讓用戶輸入賬號和密碼才能實現登錄操作。但是在微信應用中，我們可以通過微信服務器來完成這個操作，獲取到與當前用戶對應的唯一標志(openId)，具體操作實現流程如下：

注：每個用戶相對于每個微信應用(公眾號或者小程序)的openId 是唯一的，也就是說一個用戶相對于不同的微信應用會存在不同的openId

從上圖中，我們可以看出，小程序中登錄步驟如下：

① 小程序前端使用wx.login() 從微信服務器獲取code

② 小程序前端將code 發送給開發者服務器，開發者服務器利用appId、appSecret 和code 向微信服務器換換取用戶openId 和session_key

③ 開發者服務器自定義登錄態并將其與openId 和session_key 關聯起來然后寫session

④ 開發者服務器將登錄態返回給小程序前端，小程序前端使用wx.setStorageSync() 將登錄態保存起來

⑤ 小程序前端在執行業務請求時將登錄態發送給開發者服務器，以便開發者服務器知道當前操作的用戶是哪位。

也就是說，在整個過程中小程序前端是拿不到用戶openId 的，它只能通過開發者服務器發給它的登錄態來告訴服務器當前用戶的信息。登錄過程中涉及session_key 和unionId，于是又引出了下面的問題。

2在應用中如何保存用戶登錄態

保存用戶登錄態，一直以來都有兩種解決方案：前端保存和后端保存。

4.1 后端保存

在1.2 步驟③ 中寫session 的時候可以直接設定過期時間，定期通知小程序前端重新進行登錄(wx.login)。

4.2 前端保存

因為session_key 存在時效性問題(畢竟是用來查看敏感信息)，而小程序前端可以通過wx.checkSession() 來檢查session_key 是否過期。所以可以通過這個來作為保存用戶登錄態的機制，這也是小程序文檔中推薦的方法：