微信公众号开发中的access_token和jsapi_ticket
一、两个access_token
微信接口中有两个access_token,一个网页授权access_token,和一个全局的基础access_token,两个不一样。
1.网页授权access_token
用户授权给公众号后,公众号可以获取到一个网页授权特有的接口调用凭证(网页授权access_token),通过网页授权access_token可以进行授权后接口调用,如获取用户基本信息。
由微信返回的code换取access_token和openid,access_token和openid换取用户信息,具体参考:https://blog.csdn.net/G925010178/article/details/84962930
2.全局access_token
access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。access_token的存储至少要保留512个字符空间(测试返回长度为157)。
获取access_token时,请登录“微信公众平台-开发-基本配置”提前将服务器IP地址添加到IP白名单中。(小程序不需要)
3.jsapi_ticket(注意在微信公众平台绑定域名和添加白名单)
jsapi_ticket是公众号用于调用微信JS接口的临时票据。正常情况下,jsapi_ticket的有效期为7200秒,通过access_token来获取。获得jsapi_ticket之后,就可以生成JS-SDK权限验证的签名了。
二、为什么要说jsapi_ticket
全局access_token是后台调用api时经常使用的参数,jsapi_ticket时是前台js调用SDK的必要参数。
这里为什么要说jsapi_ticket呢,因为jsapi_ticket和全局access_token一样,具有时效性。而且同样调用次数有限制,需要缓存下来。我是把他们存储在数据同一张表里,调用统一的公共函数,统一刷新(jsapi_ticket测试返回长度86)。附上我的数据库表截图(小程序也有自己的access_token和jsapi_ticket,如果平台不止管理一个公众号或小程序可以依次往下添加)。
三、代码逻辑(获取全局access_token和jsapi_ticket)
AppID和AppSecret获取access_token
access_token获取jsapi_ticket
//获取access_token和jsapi_ticket
function getAccessToken($name='access_token'){
$model = \think\Db::name('Wx_access_token');
$recode = $model->where(['id'=>1])->find();
if($recode['update_time']+60*60<time()){
$url = "https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=".\think\Config::get('site')['small_appid']."&secret=".\think\Config::get('site')['small_appSecret'];
$json = json_decode(file_get_contents($url),true);
$data['access_token'] = $json['access_token'];
$url = "https://api.weixin.qq.com/cgi-bin/ticket/getticket?access_token=".$data['access_token']."&type=jsapi";
$json = json_decode(file_get_contents($url),true);
$data['jsapi_ticket'] = $json['ticket'];
$data['update_time'] = time();
$model->where(['id'=>1])->update($data);
}else{
$data['access_token'] = $recode['access_token'];
$data['jsapi_ticket'] = $recode['jsapi_ticket'];
}
return $data[$name];
}
四、注意事项
对于全局Access_token,需要注意以下几点:
1、建议公众号开发者使用中控服务器统一获取和刷新Access_token,其他业务逻辑服务器所使用的access_token均来自于该中控服务器,不应该各自去刷新,否则容易造成冲突,导致access_token覆盖而影响业务;
2、目前Access_token的有效期通过返回的expire_in来传达,目前是7200秒之内的值。中控服务器需要根据这个有效时间提前去刷新新access_token。在刷新过程中,中控服务器可对外继续输出的老access_token,此时公众平台后台会保证在5分钟内,新老access_token都可用,这保证了第三方业务的平滑过渡;
3、Access_token的有效时间可能会在未来有调整,所以中控服务器不仅需要内部定时主动刷新,还需要提供被动刷新access_token的接口,这样便于业务服务器在API调用获知access_token已超时的情况下,可以触发access_token的刷新流程。
五、附上连接
微信官方文档(全局access_token):https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140183
微信官方文档(jsapi_ticket):https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421141115