企业微信身份验证
本篇主要是在上一篇获取第三方凭证基础上,用户通过三方网站自定义授权登录后获取用户信息,以实现用户绑定登录功能。
构造第三方应用授权链接
如果第三方应用需要在打开的网页里面携带用户的身份信息,
第一步需要构造如下的链接来获取授权code。
请求方式
GET
请求地址
https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&response_type=code&scope=SCOPE&state=STATE#wechat_redirect
参数说明
| 参数 | 必须 | 说明 |
| appid | 是 | 第三方应用id(即ww或wx开头的suite_id)。注意与企业的网页授权登录不同 |
| redirect_uri | 是 | 授权后重定向的回调链接地址,请使用urlencode对链接进行处理 ,注意域名需要设置为第三方应用的可信域名 |
| response_type | 是 | 返回类型,此时固定为:code |
| scope | 是 | 应用授权作用域。 snsapi_base:静默授权,可获取成员的基础信息(UserId与DeviceId); snsapi_privateinfo:手动授权,可获取成员的详细信息,包含头像、二维码等敏感信息。 |
| state | 否 | 重定向后会带上state参数,企业可以填写a-zA-Z0-9的参数值,长度不可超过128个字节 |
| #wechat_redirect | 是 | 固定内容 |
企业员工点击后,页面将跳转至 redirect_uri?code=CODE&state=STATE,第三方应用可根据code参数获得企业员工的corpid与userid。code长度最大为512字节。
权限说明
使用snsapi_privateinfo的scope时,第三方应用必须有“成员敏感信息授权”的权限。
服务层业务代码
设置一个参数就是应用的SuiteId。这里的回调地址需要前端传递过来,因为是测试所以写一个固定的。返回一个网址需要在手机端企业微信中点击触发。
具体代码如下:
/*** 构建企业微信授权链接* @param $backUrl*/
public function getCompanyWxOauth()
{$backUrl = 'https://www.test.net/api/test';$url = "https://open.weixin.qq.com/connect/oauth2/authorize?appid=三方应用suiteID&redirect_uri={$backUrl}&response_type=code&scope=snsapi_base&state=STATE#wechat_redirect";echo "<a href='{$url}'>点击</a>";
}开通调用许可
在企业微信手机端点击链接后,提示需要开通【接口调用许可】。
解决方式
首先账号需要是测试企业,并且测试企业加入到测试企业列表中。
【应用管理】->【购买接口许可】企业微信接口许可 【购买】
需要添加企业客户ID,也就是之前企业授权安装获取的corpid。
这时候发现就变成0元可以购买了,购买后就可以访问了。
scope的特殊情况
当oauth2中appid=corpid时,scope为snsapi_userinfo或snsapi_privateinfo时,必须填agentid参数,否则系统会视为snsapi_base,不会返回敏感信息。
第三方服务商配置scope为snsapi_privateinfo时,agentid所对应的应用必须有“成员敏感信息授权”的权限。
“成员敏感信息授权”的开启方法为:登录服务商管理后台->标准应用服务->本地应用->进入应用->点击基本信息栏“编辑”按钮->勾选"成员敏感信息"。
获取访问用户身份
请求方式
GET
请求地址
https://qyapi.weixin.qq.com/cgi-bin/service/auth/getuserinfo3rd?suite_access_token=SUITE_ACCESS_TOKEN&code=CODE
参数说明
| 参数 | 必须 | 说明 |
| suite_access_token | 是 | 第三方应用凭证:suite_access_token |
| code | 是 | 通过成员授权获取到的code,最大为512字节。每次成员授权带上的code将不一样,code只能使用一次,5分钟未被使用自动过期。 |
业务处理
通过上篇《企业微信获取第三方凭证》得到三方凭证也就是suite_access_token和授权链接得到的code,可用来获取访问用户身份信息。
具体代码如下:
/*** 获取企业微信 suite_access_token* @return array|mixed*/
public function companyAccessToken()
{$url = "https://qyapi.weixin.qq.com/cgi-bin/service/get_suite_token";$params = json(['suite_id' => '三方应用的suitId','suite_secret' => '三方应用Secret','suite_ticket' => 'redis存储的回调解析得到的ticket']);$info = $this->linkCurl($url, 'POST', $params);$res = djson($info);if (isset($res['errcode'])) {return toFail('error', $res);}return toSuccess('success', ['access_token' => $suite_access_token]);
}/*** 获取企业微信用户信息* @param $code* @return array|mixed*/
public function getWxUserInfo($code)
{if (empty($code)) {return toFail('请输入code参数!');}$get_access_token = $this->companyAccessToken();if ($get_access_token['status'] != 1) {return $get_access_token;}$access_token = $get_access_token['data']['access_token'];$url = "https://qyapi.weixin.qq.com/cgi-bin/service/auth/getuserinfo3rd?suite_access_token={$access_token}&code={$code}";$info = $this->linkCurl($url, 'GET');print_r($info);die;}返回内容
返回的是通过请求授权链接,经过用户允许后获取基本用户信息。
{"errcode":0,"errmsg":"ok","corpid":"ww0d127fa51eaab","userid":"YuanLaiShiNi","parents":[],"open_userid":"woxL4YTwAAvAGu3mLUy8dkchzW"
}返回参数说明
| 参数 | 说明 |
| errcode | 返回码 |
| errmsg | 对返回码的文本描述内容 |
| corpid | 用户所属企业的corpid |
| userid | 用户在企业内的UserID,如果该企业与第三方应用没有授权关系时,返回密文UserId,有授权关系时,按照升级后的ID策略返回明文或密文 |
| user_ticket | 成员票据,最大为512字节。 |
| expires_in | user_ticket的有效时间(秒),随user_ticket一起返回 |
| open_userid | 全局唯一。对于同一个服务商,不同应用获取到企业内同一个成员的open_userid是相同的,最多64个字节。仅第三方应用可获取 |
总结
本篇主要是在上一篇获取第三方凭证基础上,用户通过三方网站自定义授权登录后获取用户信息,以实现用户绑定登录功能。