前言

在初学微信公众号开发或者小程序开发的时候，可能我们对服务器如何校检用户身份有点迷糊，甚至有初学者开发者根本不去校验用户身份，安全性全靠自觉，这就很搞笑了。遗憾的是，腾讯没有把校验放在任何手册的显要位置讲解，所以，今天我整理一下小程序开发的服务器校验用户身份的流程。

基本原理

我们都知道微信网页和小程序登录是不需要输入账号密码的，它的登录原理最简单说就是：

1. 有几台服务器需要了解一下：
   a. 业务服务器，这个是属于开发者的。
   b. 会话服务器，这个也属于开发者，当然你只有一台服务器也行，那么这台会话服务器可以合并到业务服务器。
   c. 微信服务器，显然，属于腾讯。

2. 由微信APP保证用户身份，所以登录操作，要么是在微信网页/小程序中进行，要么是用微信APP扫码，总之脱离不了微信APP。至于说，微信APP怎么提供用户身份，那你不用管。

3. 微信服务器会给A用户分配一个skey，这就是唯一的凭据。你的业务服务器数据库会存储A用户的skey和open_id，然后等着A用户发请求，A用户发的请求中会带有skey和open_id，服务器会去数据库校验，如果open_id和skey匹配成功，就是合法用户，若不成功，要么是skey过期，要么是非法用户。就这么简单。

详细解释

先阅读理解一下https://github.com/tencentyun/wafer/wiki/会话服务，这是一个WIKI知识。

这个知识说了2个事，一个是登录操作，一个是校验操作。

登录操作

你可以看到，登录操作相对较复杂，但是腾讯有办法帮你解决，你只需要使用腾讯官方提供的wafer2组件（有nodejs版本和php版本）即可，都帮你封装的妥妥的，也就是说，你不用管那一大堆箭头绕老绕去的请求、获取、解密、存储过程，你只需要使用wafer2组件即可。

使用wafer2之后，问题就简单多了，参看https://github.com/tencentyun/wafer2-client-sdk#会话服务，所以本文主要不是说登录操作的。

校验操作

这一步是重点，如果不校验，一个新手黑客可以一分钟之内拿到你网站所有用户内容，也可以冒充任何用户修改任何内容。

校验操作跟微信服务器无关，在使用wafer2组件之后，问题就简单到一行语句即可，https://github.com/tencentyun/wafer2-client-sdk#请求，我抄下来吧：

qcloud.request({
    url: 'http://199447.qcloud.la/user',
    success: function (response) {
        console.log(response);
    },
    fail: function (err) {
        console.log(err);
    }
});

腾讯文档表示，该用户的skey会自动包含在请求头中。那我来验证一下：

从服务器打印一下请求头：

image.png

看到了吧，x-wx-skey就是我们要的skey。

当然了，范例代码中没有上传data，我们根据业务需求上传就好了，当然别忘了上传open_id。

之后，服务器拿请求头中的x-wx-skey和data中的open_id去数据库验证，就完事了。

本文并没有一步接一步教你实现代码，只是讲明流程，具体要根据你的业务来做，我只想说：

wafer2已经帮你干了98%的事情，你只需要根据文档写不超过20行代码，就能搞定登录和校验，你也只需要弄明白这2%是咋回事即可。