小程序前端必须调用wx.login获取code并立即传给php后端,code有效期5分钟且仅能使用一次;PHP用code调用微信接口换取openid和session_key,以此创建本地用户并签发自定义Token。
小程序前端必须先调用 wx.login 获取 code
后端无法直接发起登录,code 必须由小程序客户端调用 wx.login 生成并传给 PHP 后端。这个 code 有效期只有 5 分钟,且只能使用一次,用完即失效。
常见错误:前端漏传 code、传了空值或过期值,导致后端调用微信接口返回 "errcode":40029,"errmsg":"invalid code"。
- 确保前端在用户授权(如点击“微信登录”按钮)后立即执行
wx.login,并在success回调中拿到res.code - 前端需将
code连同可选的encryptedData和iv(用于获取手机号等敏感信息)一并 POST 到你的 PHP 接口 - 不要在前端缓存
code或跨请求复用,每次登录都应重新调用wx.login
PHP 后端用 code 换取 session_key 和 openid
PHP 需向微信接口 https://api.weixin.qq.com/sns/jscode2session 发起 GET 请求,带上 appid、secret、js_code 和 grant_type=authorization_code。
示例请求(用 file_get_contents 或 curl 均可):
立即学习“PHP免费学习笔记(深入)”;
$url = 'https://api.weixin.qq.com/sns/jscode2session?' . http_build_query([ 'appid' => 'your_appid', 'secret' => 'your_appsecret', 'js_code' => $_POST['code'], 'grant_type' => 'authorization_code' ]); $response = file_get_contents($url); $result = json_decode($response, true);关键判断点:
- 若
$result['openid']存在,说明换 session 成功,可据此识别用户 - 若返回
"errcode":40029,基本是code错误(过期、已用、格式不对) - 若返回
"errcode":40163,说明code被重复使用,需前端重发 - 注意:微信不返回
unionid,除非该用户在当前开放平台下已绑定其他公众号/小程序
如何安全地持久化用户身份(不依赖 session_key)
session_key 是临时密钥,不能直接存库或长期下发给前端;它只用于解密微信加密数据(如手机号),且微信明确不保证长期有效。
正确做法是:用 openid(或联合 unionid)作为用户唯一标识,在你自己的数据库中查/建用户记录,并签发你自己的登录态(如 JWT 或服务端 session)。
- 不要把
session_key当作 token 返回给小程序前端 - 不要用
session_key做后续接口鉴权——它不是 access_token,也不具备权限含义 - 如果需要手机号,必须用户主动触发
getPhoneNumber,前端传encryptedData+iv,后端用session_key解密(仅此一用) - 建议在用户首次登录时,用
openid创建本地账号,并返回自定义 token(如auth_token),后续所有业务接口校验该 token
常见报错和兼容性注意点
微信登录流程看似简单,但实际部署时容易卡在环境或配置细节上:
-
"errcode":40013:appid错误——确认 PHP 请求中填的是小程序的appid,不是公众号或开放平台的 -
"errcode":40125:secret错误——检查是否复制了多余空格,或用了测试号的 secret(正式号需在微信公众平台后台获取) - HTTPS 要求:你的 PHP 接口域名必须已在小程序后台「开发管理 > 服务器域名」中配置 request 合法域名,且必须是 HTTPS
- 微信接口有频率限制(约 100 次/分钟),高频失败可能被限流,建议加简单日志和错误重试逻辑(非重放
code)
最易被忽略的一点:小程序的 appid 和 secret 绝对不能硬编码在前端或公开 JS 中,必须只保留在 PHP 服务端;哪怕只是本地调试,也建议通过 .env 或配置中心管理。