微信小程序授权登录流程（强制绑定手机号码）

本文作为 多平台用户登录模块设计 的扩展设计，即以手机号作为用户的唯一凭证。

官方文档的小程序登录时序：
https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html

（图片摘自 2018.10.30）

session_key 是密钥，仅保存于开发者服务器，用于将小程序通过前端接口获取到的数据解密来验证其真实性。详见 https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/signature.html

小程序与服务器是通过自定义登录态来识别用户身份的，以下简称口令（token）。

由于微信未告知 session_key 的有效期，那么为保证小程序发起业务请求成功，token 须要永久有效，但这会带来安全隐患。

如果设置 token 的有效期（如 7200 秒），那么小程序发起业务请求后，服务器必须把 token 的验证结果告知小程序，若失效则重新登录。

微信授权登录（含绑定手机号码）流程图

子流程：授权登录

子流程：绑定手机号

为保证数据安全，针对每个须要授权登录的业务请求，服务器都都会检验 token 的有效性。如果小程序同时发起多个业务请求，并几乎同时收到 token 过期，那么会同时发起多个重新登录流程，服务器多次 code2Session，重新生成多个 token 返回到小程序，那么小程序最终保存的 token 可能不是服务器上认为的最新的一个 token。这样，如果程序设计为获取到 token 继而重新发起业务请求，可能会进入死循环。解决的方法是在同时发起多个业务请求之前先向服务器验证一次 token 的有效性，再发起多个业务请求时就不会出现都过期的情况了。

查看详细的短信验证码登录或绑定流程