用户信息 小步调登录
小步调可以通过QQ官方供给的登录才华便捷地获与QQ供给的用户身份标识,快捷建设小步调内的用户体系。
登录流程时序
挪用 获与 久时登录凭证code ,并回传到开发者效劳器。
挪用 接口,调换 用户惟一标识 OpenID 和 会话密钥 session_key。
之后开发者效劳器可以依据用户标识来生成自界说登录态,用于后续业务逻辑中前后端交互时识别用户身份。
留心:
会话密钥 session_key 是对用户数据停行 的密钥。为了使用原身的数据安宁,开发者效劳器不应当把会话密钥下发到小步调,也不应当对外供给那个密钥。
久时登录凭证 code 只能运用一次
UnionID 机制注明假如开发者领有多个挪动使用、网站使用、小步调,可通过 UnionID 来区分用户的惟一性,因为只有是QQ互联账号下的挪动使用、网站使用、小步调,用户的 UnionID 是惟一的。换句话说,同一用户,对同一个QQ互联平台下的差异使用,unionid是雷同的。
UnionID获与门路绑定了开发者账号的小步调,可以通过以下门路获与 UnionID。
挪用接口 qq.getUserInfo,从解密数据中获与 UnionID。留心原接口须要用户授权,请开发者妥善办理用户谢绝授权后的状况。
QQ开放平台绑定小步调流程久未供给
授权局部接口须要颠终用户授权赞成威力挪用。咱们把那些接口按运用领域分红多个 scope ,用户选择对 scope 来停行授权,当授权给一个 scope 之后,其对应的所有接口都可以间接运用。
局部接口须要与得用户授权赞成后威力挪用。此类接口挪用时:
假如用户未承受或谢绝过此权限,会弹窗询问用户,用户点击赞成前方可挪用接口;
假如用户已授权,可以间接挪用接口;
假如用户已谢绝授权,则不会显现弹窗,而是间接进入接口 fail 回调。请开发者兼容用户谢绝授权的场景。
获与用户授权设置开发者可以运用 获与用户当前的授权形态。
翻开设置界面用户可以正在小步调设置界面(「左上角」 - 「对于」 - 「左上角」 - 「设置」)中控制对该小步调的授权形态。
开发者可以挪用 翻开设置界面,引导用户开启授权。
提早建议授权乞求开发者可以运用 正在挪用需授权 API 之前,提早向用户建议授权乞求。
scope 列表 scope 对应接口 形容qq.authorize({scope: "scope.userInfo"}),不会弹出授权窗口,请运用 <button open-type="getUserInfo"/>
须要授权 scope.userLocation 时必须。
开放数据校验取解密小步调可以通过各类前端接口获与QQ供给的开放数据。思考到开发者效劳器也须要获与那些开放数据,QQ会对那些数据作签名和加密办理。开发者靠山拿到开放数据后可以对数据停行校验签名和解密,来担保数据不被窜改。
签名校验以及数据加解密波及用户的会话密钥 session_key。 开发者应当事先通过 登录流程获与会话密钥 session_key 并保存正在效劳器。为了数据不被窜改,开发者不应当把 session_key 传到小步调客户端等效劳器外的环境。
数据签名校验为了确保开放接口返回用户数据的安宁性,QQ会对明文数据停行签名。开发者可以依据业务须要对数据包停行签名校验,确保数据的完好性。
通过挪用接口(如 )获与数据时,接口会同时返回 rawData、signature,此中 signature = sha1( rawData + session_key )
开发者将 signature、rawData 发送到开发者效劳器停行校验。效劳器操做用户对应的 session_key 运用雷同的算法计较出签名 signature2 ,比对 signature 取 signature2 便可校验数据的完好性。
如 qq.getUserInfo的数据校验:
接口返回的rawData:
{ "nickName": "Band", "gender": 1, "language": "zh_CN", "city": "Guangzhou", "proZZZince": "Guangdong", "country": "CN", "aZZZatarUrl": "" }
1
2
3
4
5
6
7
8
9
用户的 session-key:
HyxFkGl5F5OQWJZZaNzBBg==
1
用于签名的字符串为:
{"nickName":"Band","gender":1,"language":"zh_CN","city":"Guangzhou","proZZZince":"Guangdong","country":"CN","aZZZatarUrl":""}HyxFkGl5F5OQWJZZaNzBBg==
1
运用sha1获得的结果为
75e81ceda165f4ffa64f4068af58c64b8f54b88c
1
接口假如波及敏感数据(如当中的 openId 和 unionId),接口的明文内容将不包孕那些敏感数据。开发者如须要获与敏感数据,须要对接口返回的加密数据(encryptedData) 停行对称解密。 解密算法如下:
对称解密运用的算法为 AES-128-CBC,数据给取PKCS#7填充。
对称解密的目的密文为 Base64_Decode(encryptedData)。
对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
对称解密算法初始向质 为Base64_Decode(iZZZ),此中iZZZ由数据接口返回。
此外,为了使用能校验数据的有效性,会正在敏感数据加上数据水印( watermark )
watermark参数注明:
参数 类型 注明如接口 敏感数据当中的 watermark:
{ "openId": "OPENID", "nickName": "NICKNAME", "aZZZatarUrl": "AxATARURL", "unionId": "UNIONID", "watermark": { "appid": "APPID", "timestamp": TIMESTAMP } }
1
2
3
4
5
6
7
8
9
10
注:
解密后获得的json数据依据需求可能会删多新的字段,旧字段不会扭转和增减,开发者须要预留足够的空间
会话密钥 session_key 有效性开发者假如逢到因为 session_key 不准确而校验签名失败或解密失败,请关注下面几多个取 session_key 有关的留心事项。
挪用时,用户的 session_key 可能会被更新而以致旧 session_key 失效(刷新机制存正在最短周期,假宛如一个用户短光阳内多次挪用 ,并非每次挪用都招致 session_key 刷新)。开发者应当正在明白须要从头登录时才气用 ,实时通过 接口更新效劳器存储的 session_key。
QQ不会把 session_key 的有效期见告开发者。咱们会依据用户运用小步调的止为对 session_key 停行续期。用户越频繁运用小步调,session_key 有效期越长。
开发者正在 session_key 失效时,可以通过从头执止登录流程获与有效的 session_key。运用接口 可以校验 session_key 能否有效,从而防行小步调反复执止登录流程。
当开发者正在真现自界说登录态时,可以思考以 session_key 有效期做为原身登录态有效期,也可以真现自界说的时效性战略。
获与手机号内测中,目前仅对局部被邀请的开发者开放
生物认证久不撑持,后续版原将停行更新
