微信公眾號提供了微信支付、微信優惠券、微信H5紅包、微信紅包封面等等促銷工具來幫助我們的應用拉新保活。但是這些福利要想正確地發放到用戶的手裏就必須拿到用戶特定的(微信應用)微信標識openid甚至是用戶的微信用戶信息。如果用戶在微信客戶端中訪問我們第三方網頁,公眾號可以通過微信網頁授權機制,來獲取用戶基本信息,進而實現業務邏輯。今天就結合Spring Security來實現一下微信公眾號網頁授權。

環境准備

在開始之前我們需要准備好微信網頁開發的環境。

微信公眾號服務號

請注意,一定是微信公眾號服務號,只有服務號才提供這樣的能力。像胖哥的這樣公眾號雖然也是認證過的公眾號,但是只能發發文章並不具備提供服務的能力。但是微信公眾平臺提供了沙盒功能來模擬服務號,可以降低開發難度,你可以到微信公眾號測試賬號頁面申請,申請成功後別忘了關注測試公眾號。

微信公眾號服務號只有企事業單比特、政府機關才能開通。

內網穿透

因為微信服務器需要回調開發者提供的回調接口,為了能够本地調試,內網穿透工具也是必須的。啟動內網穿透後,需要把內網穿透工具提供的虛擬域名配置到微信測試帳號的回調配置中

打開後只需要填寫域名,不要帶協議頭。例如回調是https://felord.cn/wechat/callback,只能填寫成這樣:

然後我們就可以開發了。

OAuth2.0客戶端集成

基於 Spring Security 5.x

微信網頁授權的文檔在網頁授權,這裏不再贅述。我們只聊聊如何結合Spring Security的事。微信網頁授權是通過OAuth2.0機制實現的,在用戶授權給公眾號後,公眾號可以獲取到一個網頁授權特有的接口調用憑證(網頁授權access_token),通過網頁授權獲得的access_token可以進行授權後接口調用,如獲取用戶的基本信息。

我們需要引入Spring Security提供的OAuth2.0相關的模塊:

 <dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

由於我們需要獲取用戶的微信信息,所以要用到OAuth2.0 Login;如果你用不到用戶信息可以選擇OAuth2.0 Client

微信網頁授權流程

接著按照微信提供的流程來結合Spring Security。

獲取授權碼code

微信網頁授權使用的是OAuth2.0的授權碼模式。我們先來看如何獲取授權碼。

https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect

這是微信獲取codeOAuth2.0端點模板,這不是一個純粹的OAuth2.0協議。微信做了一些參數上的變動。這裏原生的client_id被替換成了appid,而且末尾還要加#wechat_redirect 。這無疑增加了集成的難度。

這裏先放一放,我們目標轉向Spring Securitycode獲取流程。

Spring Security會提供一個模版鏈接:

{baseUrl}/oauth2/authorization/{registrationId}

當使用該鏈接請求OAuth2.0客戶端時會被OAuth2AuthorizationRequestRedirectFilter攔截。機制這裏不講了,在我個人博客felord.cn中的Spring Security 實戰幹貨:客戶端OAuth2授權請求的入口一文中有詳細闡述。

攔截之後會根據配置組裝獲取授權碼的請求URL,由於微信的不一樣所以我們針對性的定制,也就是改造OAuth2AuthorizationRequestRedirectFilter中的OAuth2AuthorizationRequestResolver

自定義URL

因為Spring Security會根據模板鏈接去組裝一個鏈接而不是我們填參數就行了,所以需要我們對構建URL的處理器進行自定義。

/**
* 兼容微信的oauth2 端點.
*
* @author n1
* @since 2021 /8/11 17:04
*/
public class WechatOAuth2AuthRequestBuilderCustomizer {
private static final String WECHAT_ID= "wechat"; /**
* Customize.
*
* @param builder the builder
*/
public static void customize(OAuth2AuthorizationRequest.Builder builder) {
String regId = (String) builder.build()
.getAttributes()
.get(OAuth2ParameterNames.REGISTRATION_ID);
if (WECHAT_ID.equals(regId)){
builder.authorizationRequestUri(WechatOAuth2RequestUriBuilderCustomizer::customize);
}
} /**
* 定制微信OAuth2請求URI
*
* @author n1
* @since 2021 /8/11 15:31
*/
private static class WechatOAuth2RequestUriBuilderCustomizer { /**
* 默認情况下Spring Security會生成授權鏈接:
* {@code https://open.weixin.qq.com/connect/oauth2/authorize?response_type=code
* &client_id=wxdf9033184b238e7f
* &scope=snsapi_userinfo
* &state=5NDiQTMa9ykk7SNQ5-OIJDbIy9RLaEVzv3mdlj8TjuE%3D
* &redirect_uri=https%3A%2F%2Fmovingsale-h5-test.nashitianxia.com}
* 缺少了微信協議要求的{@code #wechat_redirect},同時 {@code client_id}應該替換為{@code app_id}
*
* @param builder the builder
* @return the uri
*/
public static URI customize(UriBuilder builder) {
String reqUri = builder.build().toString()
.replaceAll("client_id=", "appid=")
.concat("#wechat_redirect");
return URI.create(reqUri);
}
}
}

配置解析器

把上面個性化改造的邏輯配置到OAuth2AuthorizationRequestResolver:

/**
* 用來從{@link javax.servlet.http.HttpServletRequest}中檢索Oauth2需要的參數並封裝成OAuth2請求對象{@link OAuth2AuthorizationRequest}
*
* @param clientRegistrationRepository the client registration repository
* @return DefaultOAuth2AuthorizationRequestResolver
*/
private OAuth2AuthorizationRequestResolver oAuth2AuthorizationRequestResolver(ClientRegistrationRepository clientRegistrationRepository) {
DefaultOAuth2AuthorizationRequestResolver resolver = new DefaultOAuth2AuthorizationRequestResolver(clientRegistrationRepository,
OAuth2AuthorizationRequestRedirectFilter.DEFAULT_AUTHORIZATION_REQUEST_BASE_URI);
resolver.setAuthorizationRequestCustomizer(WechatOAuth2AuthRequestBuilderCustomizer::customize);
return resolver;
}

配置到Spring Security

適配好的OAuth2AuthorizationRequestResolver配置到HttpSecurity,偽代碼:

 httpSecurity.oauth2Login()
// 定制化授權端點的參數封裝
.authorizationEndpoint().authorizationRequestResolver(authorizationRequestResolver)

通過code換取網頁授權access_token

接下來第二步是用code去換token

構建請求參數

這是微信網頁授權獲取access_token的模板:

GET https://api.weixin.qq.com/sns/oauth2/refresh_token?appid=APPID&grant_type=refresh_token&refresh_token=REFRESH_TOKEN

其中前半段https://api.weixin.qq.com/sns/oauth2/refresh_token可以通過配置OAuth2.0的token-uri來指定;後半段參數需要我們針對微信進行定制。Spring Security中定制token-uri的工具由OAuth2AuthorizationCodeGrantRequestEntityConverter這個轉換器負責,這裏需要來改造一下。

我們先拼接參數:

 private MultiValueMap<String, String> buildWechatQueryParameters(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {
// 獲取微信的客戶端配置
ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
OAuth2AuthorizationExchange authorizationExchange = authorizationCodeGrantRequest.getAuthorizationExchange();
MultiValueMap<String, String> formParameters = new LinkedMultiValueMap<>();
// grant_type
formParameters.add(OAuth2ParameterNames.GRANT_TYPE, authorizationCodeGrantRequest.getGrantType().getValue());
// code
formParameters.add(OAuth2ParameterNames.CODE, authorizationExchange.getAuthorizationResponse().getCode());
// 如果有redirect-uri
String redirectUri = authorizationExchange.getAuthorizationRequest().getRedirectUri();
if (redirectUri != null) {
formParameters.add(OAuth2ParameterNames.REDIRECT_URI, redirectUri);
}
//appid
formParameters.add("appid", clientRegistration.getClientId());
//secret
formParameters.add("secret", clientRegistration.getClientSecret());
return formParameters;
}

然後生成RestTemplate的請求對象RequestEntity:

 @Override
public RequestEntity<?> convert(OAuth2AuthorizationCodeGrantRequest authorizationCodeGrantRequest) {
ClientRegistration clientRegistration = authorizationCodeGrantRequest.getClientRegistration();
HttpHeaders headers = getTokenRequestHeaders(clientRegistration); String tokenUri = clientRegistration.getProviderDetails().getTokenUri();
// 針對微信的定制 WECHAT_ID錶示為微信公眾號專用的registrationId
if (WECHAT_ID.equals(clientRegistration.getRegistrationId())) {
MultiValueMap<String, String> queryParameters = this.buildWechatQueryParameters(authorizationCodeGrantRequest);
URI uri = UriComponentsBuilder.fromUriString(tokenUri).queryParams(queryParameters).build().toUri();
return RequestEntity.get(uri).headers(headers).build();
}
// 其它 客戶端
MultiValueMap<String, String> formParameters = this.buildFormParameters(authorizationCodeGrantRequest);
URI uri = UriComponentsBuilder.fromUriString(tokenUri).build()
.toUri();
return new RequestEntity<>(formParameters, headers, HttpMethod.POST, uri);
}

這樣兼容性就改造好了。

兼容token返回解析

微信公眾號授權token-uri的返回值雖然文檔說是個json,可它喵的Content-Typetext-plain。如果是application/jsonSpring Security就直接接收了。你說微信坑不坑?我們只能再寫個適配來正確的反序列化微信接口的返回值。

Spring Security 中對token-uri的返回值的解析轉換同樣由OAuth2AccessTokenResponseClient中的OAuth2AccessTokenResponseHttpMessageConverter負責。

首先增加Content-Typetext-plain的適配;其次因為Spring Security接收token返回的對象要求必須顯式聲明tokenType,而微信返回的響應體中沒有,我們一律指定為OAuth2AccessToken.TokenType.BEARER即可兼容。代碼比較簡單就不放了,有興趣可以去看我給的DEMO。

配置到Spring Security

先配置好我們上面兩個步驟的請求客戶端:

 /**
* 調用token-uri去請求授權服務器獲取token的OAuth2 Http 客戶端
*
* @return OAuth2AccessTokenResponseClient
*/
private OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> accessTokenResponseClient() {
DefaultAuthorizationCodeTokenResponseClient tokenResponseClient = new DefaultAuthorizationCodeTokenResponseClient();
tokenResponseClient.setRequestEntityConverter(new WechatOAuth2AuthorizationCodeGrantRequestEntityConverter()); OAuth2AccessTokenResponseHttpMessageConverter tokenResponseHttpMessageConverter = new OAuth2AccessTokenResponseHttpMessageConverter();
// 微信返回的content-type 是 text-plain
tokenResponseHttpMessageConverter.setSupportedMediaTypes(Arrays.asList(MediaType.APPLICATION_JSON,
MediaType.TEXT_PLAIN,
new MediaType("application", "*+json")));
// 兼容微信解析
tokenResponseHttpMessageConverter.setTokenResponseConverter(new WechatMapOAuth2AccessTokenResponseConverter()); RestTemplate restTemplate = new RestTemplate(
Arrays.asList(new FormHttpMessageConverter(),
tokenResponseHttpMessageConverter
)); restTemplate.setErrorHandler(new OAuth2ErrorResponseErrorHandler());
tokenResponseClient.setRestOperations(restTemplate);
return tokenResponseClient;
}

再把請求客戶端配置到HttpSecurity

 // 獲取token端點配置 比如根據code 獲取 token
httpSecurity.oauth2Login()
.tokenEndpoint().accessTokenResponseClient(accessTokenResponseClient)

根據token獲取用戶信息

微信公眾號網頁授權獲取用戶信息需要scope包含snsapi_userinfo

Spring Security中定義了一個OAuth2.0獲取用戶信息的抽象接口:

@FunctionalInterface
public interface OAuth2UserService<R extends OAuth2UserRequest, U extends OAuth2User> { U loadUser(R userRequest) throws OAuth2AuthenticationException; }

所以我們針對性的實現即可,需要實現三個相關概念。

OAuth2UserRequest

OAuth2UserRequest是請求user-info-uri的入參實體,包含了三大塊屬性:

  • ClientRegistration 微信OAuth2.0客戶端配置
  • OAuth2AccessTokentoken-uri獲取的access_token的抽象實體
  • additionalParameters 一些token-uri返回的額外參數,比如openid就可以從這裏面取得

根據微信獲取用戶信息的端點API這個能滿足需要,不過需要注意的是。如果使用的是 OAuth2.0 Client 就無法從additionalParameters獲取openid等額外參數。

OAuth2User

這個用來封裝微信用戶信息,細節看下面的注釋:

/**
* 微信授權的OAuth2User用戶信息
*
* @author n1
* @since 2021/8/12 17:37
*/
@Data
public class WechatOAuth2User implements OAuth2User {
private String openid;
private String nickname;
private Integer sex;
private String province;
private String city;
private String country;
private String headimgurl;
private List<String> privilege;
private String unionid; @Override
public Map<String, Object> getAttributes() {
// 原本返回前端token 但是微信給的token比較敏感 所以不返回
return Collections.emptyMap();
} @Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// 這裏放scopes 或者其它你業務邏輯相關的用戶權限集 目前沒有什麼用
return null;
} @Override
public String getName() {
// 用戶唯一標識比較合適,這個不能為空啊,如果你能保證unionid不為空,也是不錯的選擇。
return openid;
}
}

注意: getName()一定不能返回null

OAuth2UserService

參數OAuth2UserRequest和返回值OAuth2User都准備好了,就剩下去請求微信服務器了。借鑒請求token-uri的實現,還是一個RestTemplate調用,核心就這幾行:

LinkedMultiValueMap<String, String> queryParams = new LinkedMultiValueMap<>();
// access_token
queryParams.add(OAuth2ParameterNames.ACCESS_TOKEN, userRequest.getAccessToken().getTokenValue());
// openid
queryParams.add(OPENID_KEY, String.valueOf(userRequest.getAdditionalParameters().get(OPENID_KEY)));
// lang=zh_CN
queryParams.add(LANG_KEY, DEFAULT_LANG);
// 構建 user-info-uri端點
URI userInfoEndpoint = UriComponentsBuilder.fromUriString(userInfoUri).queryParams(queryParams).build().toUri();
// 請求
return this.restOperations.exchange(userInfoEndpoint, HttpMethod.GET, null, OAUTH2_USER_OBJECT);

配置到Spring Security

// 獲取用戶信息端點配置 根據accessToken獲取用戶基本信息
httpSecurity.oauth2Login()
.userInfoEndpoint().userService(oAuth2UserService);

這裏補充一下,寫一個授權成功後跳轉的接口並配置為授權登錄成功後的跳轉的url。

// 默認跳轉到 / 如果沒有會 404 所以弄個了接口
httpSecurity.oauth2Login().defaultSuccessUrl("/weixin/h5/redirect")

在這個接口裏可以通過@RegisteredOAuth2AuthorizedClient@AuthenticationPrincipal分別拿到認證客戶端的信息和用戶信息。

@GetMapping("/h5/redirect")
public void sendRedirect(HttpServletResponse response,
@RegisteredOAuth2AuthorizedClient("wechat") OAuth2AuthorizedClient authorizedClient,
@AuthenticationPrincipal WechatOAuth2User principal) throws IOException {
//todo 你可以再這裏模擬一些授權後的業務邏輯 比如用戶靜默注册 等等 // 當前認證的客戶端 token 不要暴露給前臺
OAuth2AccessToken accessToken = authorizedClient.getAccessToken();
System.out.println("accessToken = " + accessToken);
// 當前用戶的userinfo
System.out.println("principal = " + principal);
response.sendRedirect("https://felord.cn");
}

到此微信公眾號授權就集成到Spring Security中了。

相關配置

application.yaml相關的配置:

spring:
security:
oauth2:
client:
registration:
wechat:
# 可以去試一下沙箱
# 公眾號服務號 appid
client-id: wxdf9033184b2xxx38e7f
# 公眾號服務號 secret
client-secret: bf1306baaa0dxxxxxxb15eb02d68df5
# oauth2 login 用 '{baseUrl}/login/oauth2/code/{registrationId}' 會自動解析
# oauth2 client 寫你業務的鏈接即可
redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}'
authorization-grant-type: authorization_code
scope: snsapi_userinfo
provider:
wechat:
authorization-uri: https://open.weixin.qq.com/connect/oauth2/authorize
token-uri: https://api.weixin.qq.com/sns/oauth2/access_token
user-info-uri: https://api.weixin.qq.com/sns/userinfo

關注公眾號:Felordcn 獲取更多資訊

個人博客:https://felord.cn

Spring Security中實現微信網頁授權的更多相關文章

  1. [收藏]Spring Security中的ACL

    ACL即訪問控制列錶(Access Controller List),它是用來做細粒度權限控制所用的一種權限模型.對ACL最簡單的描述就是兩個業務員,每個人只能查看操作自己簽的合同,而不能看到對方的合 ...

  2. 玩玩微信公眾號Java版之六:微信網頁授權

    我們經常會訪問一些網站,用微信登錄的時候需要用到授權,那麼微信網頁授權是怎麼一回事呢,一起來看看吧!   參考官方文檔:https://mp.weixin.qq.com/wiki?t=resource ...

  3. 微信網頁授權封裝接口——node.js版

    Wechat 網頁授權 授權url:(請在微信客戶端中打開此鏈接體驗) xxx為config.js中的WECHAT_DOMAIN 1.scope為snsapi_base xxx/?route=auth ...

  4. Spring Security 中的過濾器

    本文基於 spring-security-core-5.1.1 和 tomcat-embed-core-9.0.12. Spring Security 的本質是一個過濾器鏈(filter chain) ...

  5. 服務號使用微信網頁授權(H5應用等)

    獲取授權准備 AppId 服務號已經認證且獲取到響應接口權限 設置網頁授權域名 公眾號設置 - 功能設置 - 網頁授權域名.注意事項: 回調頁面域名或路徑需使用字母.數字及"-"的 ...

  6. 微信網頁授權,錯誤40163,ios正確,安卓錯誤?

    2017-07-29:結貼昨天研究了半天,也沒解决,看到出錯的http頭裏面有PHPSESSID,回頭去修改了一下程序裏的session部分的代碼(這部分代碼在微信網頁授權之後),,也不知道是騰訊那邊 ...

  7. Java微信公眾平臺開發(十六)--微信網頁授權(OAuth2.0授權)獲取用戶基本信息

    轉自:http://www.cuiyongzhi.com/post/78.html 好長時間沒有寫文章了,主要是最近的工作和生活上的事情比較多而且繁瑣,其實到現在我依然還是感覺有些迷茫,最後還是决定靜 ...

  8. 微信網頁授權access_token與基礎支持的access_token

    問題1:網頁授權access_token與分享的jssdk中的access_token一樣嗎? 答:不一樣.網頁授權access_token 是一次性的,而基礎支持的access_token的是有時間 ...

  9. 手把手實現微信網頁授權和微信支付,附源代碼(VUE and thinkPHP)

    wechat github 手把手實現微信網頁授權和微信支付,附源代碼(VUE and thinkPHP) 概述 公眾號開發是痛苦的,痛苦在好多問題開發者文檔是沒有提到的,是需要你猜的. 在開發過程中 ...

  10. 微信網頁授權demo2

    1.在微信公眾號請求用戶網頁授權之前,開發者需要先到公眾平臺官網中的“開發 - 接口權限 - 網頁服務 - 網頁帳號 - 網頁授權獲取用戶基本信息”的配置選項中,修改授權回調域名.請注意,這裏填寫的是 ...

隨機推薦

  1. 從零開始攻略PHP(7)——面向對象(上)

    1.理解面向對象的概念 面向對象軟件的一個重要優點是支持和鼓勵封裝的能力.封裝也叫數據隱藏. 在面向對象的軟件中,對象是一個被保存數據和操作這些數據的操作方法的唯一.可標識的集合. 對象可以按類進行分 ...

  2. js日期相關函數總結分享

    一個倒計時程序,因為經常要在手機端訪問,所以沒有引用jquery,對於用習慣jquery的我還真不習慣. 下面簡單說明js日期相關函數,並說明實現倒計時的原理 var dateTo=new Date( ...

  3. C#用注册錶開機自動啟動某某軟件

    代碼如下: public static void chkAutoRun(bool isRun) { if (isRun)//開機自動啟動 { try { RegistryKey runKey = Re ...

  4. git修改已push的commit信息

    本條適用於修改已push的最新的commit信息,確保本地的文件是最新的. 使用 git commit --amend 命令,(修改最近一次提交的注釋信息),會進入到vim 編輯器 編輯提交信息,保存 ...

  5. ansible-play中role的基本用法

    #role應用 #roles跟調用角色的劇本文件應該與roles同級關系,即放在ansible目錄下 #makir /root/ansible/roles/{nginx,http,ftp,mysql, ...

  6. JAVA實訓第四次作業

    編寫"電費管理類"及其測試類. 第一步 編寫"電費管理"類 私有屬性:上月電錶讀數.本月電錶讀數 構造方法:無參.2個參數 成員方法:getXXX()方法.se ...

  7. 【動畫】看動畫輕松理解「Trie樹」

    Trie樹 Trie這個名字取自“retrieval”,檢索,因為Trie可以只用一個前綴便可以在一部字典中找到想要的單詞. 雖然發音與「Tree」一致,但為了將這種 字典樹 與 普通二叉樹 以示區別 ...

  8. Op-level的快速算法

    十歲的小男孩 本文為終端移植的一個小章節. 目錄 引言 FFT Conv2d (7x7, 9x9) Winograd Conv2d (3x3, 5x5) 引言 本節針對CNN進行加速計算的,主要有以下 ...

  9. C語言中二維字符數組的定義和初始化

    本篇日志關於二維字符數組的定義和初始化.我相信這篇文章屬於菜鳥級的,高手請直接無視. 一般來說,我們可能會希望定義一個二維字符數組並且在定義的時候就用一些字符串來初始化它.比如說: ][MAX_LEN ...

  10. hdu 1799 循環多少次?

    題目 題意:給出n,m,其中m錶示有幾層循環,求循環的次數 ①如果代碼中出現 for(i=1;i<=n;i++) OP ; 那麼做了n次OP運算: ②如果代碼中出現 fori=1;i<=n ...