微信小程序扫码登录的核心是通过小程序获取code后安全传递给PC/H5页面,再由PHP后端调用微信接口换取openid和session_key;需确保code及时、不丢失传输,校验通过后生成短期票据供轮询验证,全程须HTTPS且防重放与缓存。
微信小程序扫码登录的核心是「临时登录凭证」换「用户身份」
小程序端调用 wx.login() 拿到的是 code,这个 code 不能直接识别用户,必须由后端用它向微信接口 https://api.weixin.qq.com/sns/jscode2session 换取 openid 和 session_key。扫码登录场景下,这个 code 要从「小程序扫码页」传给「PC 或 H5 登录页」,再由后者提交给你的 PHP 后端——所以关键不是“怎么扫”,而是“怎么把 code 安全、及时、不丢失地传过来”。
扫码页(小程序)必须主动触发并透出 code
小程序里不能只放个二维码让前端自己扫完就结束;必须在用户点击“确认登录”或扫码成功后,调用 wx.login() 获取 code,并通过 wx.navigateTo() 或 button open-type="getPhoneNumber" 等可控方式跳转,把 code 作为 query 参数带过去。常见错误是:只渲染二维码,没绑定扫码回调,或回调里忘了调 wx.login()。
- 务必在
onShow或扫码成功回调中立即调用wx.login(),避免用户切换后台导致 code 过期(有效期 5 分钟) - 不要用
wx.getSetting或wx.authorize替代wx.login(),它们不产生登录态 code - 传参示例:
https://yourdomain.com/login/callback?code=012abcXYZ,注意 URL 编码,PHP 端用$_GET['code']接收
PHP 后端验证 code 并关联用户需两步走
拿到 code 后,PHP 不可直接存库或发 token,必须先向微信校验。微信返回的 openid 是唯一标识,但不同小程序 appId 下 openid 不互通;若需跨平台统一账号,得靠 UnionID(需绑定同一微信开放平台账号)。
- 请求微信接口时,必须带上你小程序的
appid、secret和前端传来的code,缺一不可 - 微信响应可能为 JSON 错误体(如
{"errcode":40029,"errmsg":"invalid code"}),PHP 要用json_decode($res, true)判断是否存在openid键,而不是直接取值 - 校验成功后,建议生成一个服务端短期有效的登录票据(如 JWT 或 Redis key),过期时间设为 2–5 分钟,供 PC/H5 页面轮询或回调使用
- 别把
session_key返回给前端,它用于解密敏感数据(如手机号),泄露会导致安全风险
PC/H5 页面轮询状态时容易忽略超时与幂等
扫码页跳转后,PC 页面通常用定时器(setInterval)请求后端接口查“是否已确认登录”。这里 PHP 接口要返回明确状态(如 {"status":"waiting"} / {"status":"success","token":"xxx"}),但轮询逻辑极易出问题:
立即学习“PHP免费学习笔记(深入)”;
- 前端未在收到 success 后清除定时器,导致重复请求或界面卡死
- PHP 接口未对同一
login_id(或扫码随机串)做幂等判断,多次轮询可能触发重复登录逻辑 - 没设置最大轮询次数或总超时(比如 60 秒),用户网络差时页面一直转圈
- 推荐做法:小程序扫码成功后,PHP 生成唯一
scan_id存 Redis(EX 120s),PC 端轮询时带该 ID,PHP 查 Redis 中对应 key 是否已写入 user_id + token
整个链路最脆弱的一环其实是 code 的传递过程——它既不能被中间人截获(需 HTTPS),也不能被浏览器缓存(避免 GET 参数泄露),更不能因重定向丢失(建议用 POST 回调或短链跳转)。一旦 code 失效或重复使用,微信会返回 40029,这时候别重试,该引导用户重新扫码。