![微信小程序开发-服务端session值取不到;小程序res.header['Set-Cookie']隐藏的坑,第1张](/aiimages/%E5%BE%AE%E4%BF%A1%E5%B0%8F%E7%A8%8B%E5%BA%8F%E5%BC%80%E5%8F%91-%E6%9C%8D%E5%8A%A1%E7%AB%AFsession%E5%80%BC%E5%8F%96%E4%B8%8D%E5%88%B0%EF%BC%9B%E5%B0%8F%E7%A8%8B%E5%BA%8Fres.header%5B%26%23039%3BSet-Cookie%26%23039%3B%5D%E9%9A%90%E8%97%8F%E7%9A%84%E5%9D%91.png "微信小程序开发-服务端session值取不到;小程序res.header['Set-Cookie']隐藏的坑,第1张")
根源:微信小程序不能保存Cookie,导致每次wx.request到服务端都会创建一个新的会话,从而当前会话不再是之前存验证码的那个会话,自然也就取不到session值了。
解决方法:(由于本人很懒,直接参考、引用大神的文章,文末有原文链接,原文板块比较好看一点。我这里重点在于记录微信小程序的另一个坑。)
普通的Web开发,都是把sessionid保存在cookie中传递的。
不管是java还是php,服务端的会在response的header中加上Set-Cookie
例如:
浏览器的请求也会在header中加上
例如:
通过这个sessionid就能使浏览器端和服务端保持会话,使浏览器端保持登录状态。但是,微信小程序不能保存Cookie,导致每次wx.request到服务端都会创建一个新的会话,小程序端就不能保持登录状态了。
一个比较简单的办法就是在小程序端把cookie保存到storage里,后续请求的时候再读storage,把cookie添加到请求头里,这样做的好处就是,服务端不用做任何改动
具体 *** 作如下:
1.把服务端response的Set-Cookie中的值保存到Storage中
2.wx.request再从Storage中取出Cookie,封装到header中
我在这里还遇到了另外一个问题,当服务器响应多个Set-Cookie时,小程序通过wx.request 回调取res.header['Set-Cookie']所取到的Set-Cookie值是把它们用逗号拼接在一起,从而产生的错误的Cookie,这样请求后台的时候还是取不到相应的session。而真正需要的是用分号拼接多个Set-Cookie值。例如:
服务器响应:
小程序通过res.header['Set-Cookie']取到的Set-Cookie值却是:
而真正正确的值应该是smallapp与session_name之间用分号隔开而不是逗号:
但坑终究是坑,寄人篱下,有坑也只得我们自己填。
填坑方法:在步骤2中的if判断中,自己重新拆分Storage中取出的Cookie,整理成后端需要的规范的cookie。再赋值给header.Cookie。
这个问题暂时没找到其他解决方案,也请知道的朋友指点一下。
原文引用: 微信小程序开发-保存服务端sessionid的方法
链接:https://www.jianshu.com/p/5c928e0df024【点击了解更多加盟项目】
小程序泄露了sessionkey不可以导致任意用户登录。小程序泄露了sessionkey前端传递code,开发者服务端会调用此接口去换取sessionkey。所以小程序泄露了sessionkey不可以导致任意用户登录。
会话密钥(session key)也称为数据加密密钥或者工作密钥,是保证用户跟其它计算机或者两台计算机之间安全通信会话而随机产生的加密和解密密钥,它可由通信用户之间进行协商得到。它一般是动态地、仅在需要进行会话数据加密时产生。
传统开发小程序登录后端工作:
利用bmob的小程序sdk的实现 一键登录 :
以上后端开发工作全省了!!!
user用户对象中的 loginWithWeapp 方法使用当前使用小程序的微信用户身份注册或登录,成功后用户的 session 会在设备上持久化保存,之后可以使用 Bmob.User.current() 获取当前登录用户
如果该用户是第一次使用此应用,调用登录 API 会创建一个新的用户,你可以在 控制台 >应用>数据 中的 _User 表中看到该用户的信息,如果该用户曾经使用该方式登录过此应用,再次调用登录 API 会返回同一个用户。
登录后获取到一个用户数据对象,包括用户唯一标识 objectId、openid、nickName、avatarUrl、authData,authData 包括session_token登录校验,小程序sdk封装了请求带上了缓存 authData 的session_token,所以session_token这部分 不需要bmob的开发者考虑;
如果用户每次打开App的时候都要求登录无疑是令人感到厌烦的,你可以通过缓存当前的Bmob.User对象来避免这个问题。
无论你使用任何注册或者登录方法,用户都会在localStorage中储存,你可以把缓存作为一个session对待,并且自动假设用户已经登录了。
你可以 *** 作 Bmob.User.current() 来获取当前用户的信息
Bmob.User类默认就是受保护的,在Bmob.User中保存的数据只能被那个用户所修改。默认地,数据仍然可以被任意客户端所读取。这样就是说,有些Bmob.User对象被认证后是可以修改的,其他的仍然是只读的。
特别的,你不能调用save或者delete方法除非Bmob.User经过了认证,就比如调用过了logIn或者signUp方法,这样保证只有用户能改动他们自身的数据。
怎么样,都很简单吧!
Bmob地址: www.bmob.cn
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)