0%

微信授权获取用户信息时code回调了两次

发表于 更新于 分类于 Disqus:
本文字数: 3.1k 阅读时长 ≈ 5 分钟

微信授权获取用户信息时code回调了两

通过调用微信授权,首先要获取 code,微信将携带 code 回调至开发者指定的地址。但有部分安卓机型(截止目前发现机型有:小米)会提示 errcode:40163, errmsg: code been used 错误。

Nginx 请求日志

1
2
3
4
5
6
7
8
# 正常机型
10.10.10.10 - - [23/Jul/2021:17:32:37 +0800] - - - - - "GET /wap/index HTTP/1.1"
10.10.10.10 - - [23/Jul/2021:17:32:37 +0800] - - - - - "GET /wap/index?code=021Svm1w3V3BNW22W51w39nFIa1Svm2F&state=1 HTTP/1.1"

# 异常机型
10.10.10.10 - - [23/Jul/2021:17:34:24 +0800] - - - 117.136.78.68 - "GET /wap/index HTTP/1.1"
10.10.10.10 - - [23/Jul/2021:17:34:25 +0800] - - - 117.136.78.68 - "GET /wap/index?code=0512dXkl2E9Or74M1yml2DwBNK42dXkV&state=1 HTTP/1.1"
10.10.10.10 - - [23/Jul/2021:17:34:25 +0800] - - - - - "GET /wap/index?code=0512dXkl2E9Or74M1yml2DwBNK42dXkV&state=1 HTTP/1.1"

代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
$sign = $this->getg('s', 0);
$code = $this->getg('code', '');
$state = $this->getg('state', '');
file_put_contents('/tmp/sign-' . $sign . '.txt', date('Y-m-d H:i:s', time()) . '-' . $state . "-" . $code . PHP_EOL, FILE_APPEND);
if(empty($code)) {
    $state = md5(uniqid());
    $redirect_uri = urlencode('http://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    if ($sign == 2 || $sign == 3) {
        $redirect_uri = urlencode('https://'.$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
    }
    $url ="https://open.weixin.qq.com/connect/oauth2/authorize?appid={$this->AppId}&redirect_uri={$redirect_uri}&response_type=code&scope=snsapi_userinfo&state={$state}#wechat_redirect";
    if ($sign == 1 || $sign == 2) {
        Header("Location:" . $url);
        exit;
    }
    echo "<div style='width:100%;height:500px;line-height:500px;margin:0 auto;'><a href='${url}'>点击跳转</a></div>";
    exit;
}

//第一步:取得openid
$oauth2Url = "https://api.weixin.qq.com/sns/oauth2/access_token?appid={$this->AppId}&secret={$this->AppSecret}&code={$code}&grant_type=authorization_code";
$oauth2 = $this->curlGet($oauth2Url);
$oauth2 = json_decode($oauth2, true);
echo '<pre>'; var_dump($oauth2); echo '</pre>';

//第二步:根据全局access_token和openid查询用户信息  
$access_token = $oauth2["access_token"];  
$openid = $oauth2['openid'];
$get_user_info_url = "https://api.weixin.qq.com/sns/userinfo?access_token={$access_token}&openid={$openid}&lang=zh_CN";
$userInfo = $this->curlGet($get_user_info_url);
$userInfo = json_decode($userInfo, true);
echo '<pre>'; var_dump($userInfo); echo '</pre>';
exit;

测试

  1. 安卓手机挂代理测试可正常获取用户微信信息。

  2. 无代理,使用 https 回调 code 也能正常获取到用户微信信息。

  3. 无代理,使用 <a href="跳转微信获取code链接地址">跳转</a> 方式,点击跳转还是会出现两次回调 code

    此方式可通过数据线将手机与电脑链接,使用 chrome://inspect 测试发现,只请求了一次 code 回调,证明不是微信浏览器客户端做的两次回调 code,很有可能是微信客户端的代理IP做的了。

解决方案

  1. 继续使用 http 请求,不去理会 code 请求两次的问题,使用 cookiesession 会话保持,保存第一次 code 获取的用户微信信息,第二次请求时先判断 cookiesession 中是否存在用户微信信息,若存在则直接进行业务处理,不再走微信授权逻辑。
  2. 使用 https 回调 code,可保证只回调一次 code