支付宝小程序授权登陆篇

产品介绍 

 

客户端获取 authcode

通过调用 my.getAuthCode 这个 jsapi 获取用户授权，在 success 回调中可以获取到 authcode，js 代码如下：

my.getAuthCode({
scopes: 'auth_user', // 主动授权：auth_user，静默授权：auth_base。或者其它scope
success: (res) => {
if (res.authCode) {
// 认证成功
// 调用自己的服务端接口，让服务端进行后端的授权认证，并且利用session，需要解决跨域问题
my.request({
url: 'https://isv.com/auth', // 该url是您自己的服务地址，实现的功能是服务端拿到authcode去开放平台进行token验证
data: {
authcode: res.authCode,
},
success: () => {
// 授权成功并且服务器端登录成功
},
fail: () => {
// 根据自己的业务场景来进行错误处理
},
});
}
},
});


服务端获取 access_token

服务器端调用 alipay.system.oauth.token 接口换取授权访问令牌，开发者可通过获取到的 auth_code 换取access_token 和用户 ID。auth_code 作为换取 access_token 的票据，每次用户授权完成，回调地址中的 auth_code 将不一样，auth_cod 只能使用一次，一天未被使用自动过期。具体可参见文档alipay.system.oauth.token。 开放平台服务端SDK 的 java 调用示例如下：

AlipayClient alipayClient = new DefaultAlipayClient("https://openapi.alipay.com/gateway.do","app_id","your private_key","json","GBK","alipay_public_key","RSA2");
AlipaySystemOauthTokenRequest request = new AlipaySystemOauthTokenRequest();
request.setGrantType("authorization_code");
request.setCode("4b203fe6c11548bcabd8da5bb087a83b");
request.setRefreshToken("201208134b203fe6c11548bcabd8da5bb087a83b");
AlipaySystemOauthTokenResponse respOnse= alipayClient.execute(request);
if(response.isSuccess()){
System.out.println("调用成功");
} else {
System.out.println("调用失败");
}


• 认证成功 把 uid&token 保存到 session 中，在 session 有效期内就不需要每次都走授权平台进行验证。

• 认证失败 则返回失败原因，需要再重新走授权流程。

• 注意 如果仅是为了授权或获取用户 ID，那么到此授权结束。

调用服务端业务接口

在获取到 access_token 后，即可以继续使用该 token 调用 openapi 的授权类接口（比如 alipay.user.info.share、alipay.marketing.card.open等），请注意 token 的权限范围和时效性。

深入授权机制

用户授权auth_code

• 说明 auth_code 一次有效，auth_code 有效期为3分钟到24小时（开放平台规则会根据具体的业务场景动态调整auth_code 的有效期，但是不会低于3分钟，同时也不会超过24小时），超过有效期的 auth_code 即使未使用也将无法使用。 用户的每次授权动作都会生成一个新的 auth_code。

• 建议 基于安全考虑，开发者在获取 auth_code（用户授权码）后应尽快调用 alipay.system.oauth.token 接口换取access_token（访问令牌）。

授权scope

• 说明 scope 为公开的资源，其使用不需要签约，但是其包含的接口是否需要签约请看具体的功能包或者接口定义。 开发者可以在授权请求中包含一个或者多个用户授权范围，每个授权范围称为一个 scope，一个 scope 包含若干个开放平台接口，请求的多个 scope 通过英文逗号分隔。 授权的流程是通用的，在不同的业务场景需要授权的范围不同，需要根据具体产品接入文档中指定的 scope 替换本文中的scope参数。

• scope 有效期： 这里的 scope 有效期和前面的 auth_code 有效期是两个概念。 scope的有效期会影响开发者最终获取到的access_token和refresh_token的有效期，不同scope的有效期请参考具体的产品文档。

• 建议： 为了产品体验考虑请按需请求需要的 scope，过多的授权范围容易导致用户放弃授权。建议在做产品的登录场景中使用 auth_base 或者 auth_user 做用户引流，后续根据需要具体业务需要引导用户请求特定scope的用户授权。

access_token

• 有效期： access_token 取决于授权时指定的 scope 的有效期，如果授权时指定多个 scope，最终的 access_token 的有效期取决于有效期最短的 scope。 access_token 截止时间=（授权时间点）+（授权后调用 alipay.system.oauth.token 返回的 expires_in）。

• 令牌存储要求：

• • 确保 access_token 的安全保存；

• • 根据 appId + uid +单个 scope 为索引保存 access_token，否则会因为 appid 令牌混用和不同 scope 的令牌相互覆盖导致接口调用报错，若前后多次授权范围相同，仅保存授权截止时间最长的 access_token 即可。授权截止时间 = 授权时间点+ alipay.system.oauth.token 返回的 expires_in。

注意：用户可以取消授权，取消后 access_token 即使在有效期也无法使用。

refresh_token

• 说明： 用auth_code 调用 alipay.system.oauth.token 接口获取 access_token 时会返回一个 refresh_token（刷新令牌），在 refresh_token 有效期内可以通过 refresh_token 同样调用 alipay.system.oauth.token 刷新一个新的 access_token。

• 有效期：

• • refresh_token 取决于授权时指定的scope的有效期，如果授权时指定多个 scope，最终的 refresh_token 的有效期取决于有效期最短的 scope。

• • refresh_token 截止时间=（第一次获得该 refresh_token 的时间 + alipay.system.oauth.token 返回的 re_expires_in）。

• 使用：

• • 使用 refresh_token 调用 alipay.system.oauth.token。

• • 刷新后可以得到一个新的 access_token，access_token 截止时间重新计算（对应可以看到 expires_in 不会变），原来的 accesss_token 会立即失效；同时会得到一个新的refresh_token，原来的 refresh_token 会失效，新 refresh_token 截止时间不会重新计算（对应可以看到 re_expires_in 会减少）。

注意：用户可以取消授权，取消后 refresh_token 即使在有效期也无法使用。

API 列表

如果您在调用 API 时出现报错：

 

• 欢迎前往 开放社区 提问、留言；

• 在 公共错误码 中根据错误码的类型，查找相关错误码及解决方案；

• 在 蚂蚁问答 问答页面直接输入您遇到的错误码；

• 在 云排查 中排查遇到的问题；

• 您还可以在 文档中心 直接搜索您要的答案。

 官方文档：传送门