走向匿名化,谈谈微信小程序新授权登录
发表时间:2021-4-22
发布人:葵宇科技
浏览次数:55
今年 2 月,微信团队针对小程序登录和用户信息获取进行了一次 接口调整 ,这一举动史无前例地撼动了几乎所有小程序开发者,在小程序社区产生了不小的反响。
作为接入方,本文将从产品和技术两个角度,讨论微信新授权登录机制的设计目的、适配方案以及对产品带来的影响。
历史渊源:授权、登录与获取用户信息
在微信问世之前,来自 Twitter 的 OAuth 模型就已经足够普及。在 OAuth 模型中,B 业务想要操作用户在 A 业务中的数据,需要首先跳转到 A 业务的页面,让用户直接与 A 业务进行确认,称为授权(Authorization),得到 A 业务颁发给 B 业务的「兑换码」(一般称为 code),并回跳到 B 业务;之后,B 业务使用这个兑换码,通过后端直接联系 A 业务,一次性获得用于操作 A 业务数据的一系列凭证,并进行保存,后续则可以使用这些凭证调用 A 业务中的操作。
在 OAuth 模型中,Auth 这一缩写代表了两层含义:「授权(Authorization)」指用户直接联系 A 业务,对操作进行确认的过程;而「验证(Authentication)」则多指 A 业务对 B 业务的访问权进行校验的后续流程。
微信公众号网页开发实现了这一模型:
对于 授权 ,公众号网页需要先跳转到微信提供的授权页面,由用户点击确认授权(如果无需获取用户信息,或用户已经授权,或已经关注过服务号,则无需确认,但仍然需要进行这一次跳转),授权页面会回跳到公众号网页业务,并带上 code 到网页参数;之后,业务方则需要通过 后端拦截 或 前端 Ajax 请求 等方式,经由业务自己的后端换取微信颁发的 OpenID/UnionID 以及一个 access_token 凭证;
对于 登录 ,其本质是区分用户、颁发登录态。OpenID/UnionID 代表了用户在微信的身份信息,让业务后端能够区分相同和不同的用户,业务后端可以针对相同的用户颁发已有的登录态信息,访问同一个用户之前产生的数据;针对不同的用户,则可以创建新的帐号信息,下发新的登录态等;
对于 获取用户信息 ,后端可以用 access_token 向微信请求获得。
小程序老授权登录
在微信小程序中,由于微信客户端拥有控制力,第三方业务与微信之间不再需要跳转,只要调用微信提供的接口,微信客户端可以保证授权的有效性,因此授权登录相比网页开发较为简单,但这同时也意味着微信随时可以改变接口的行为。直到目前,小程序授权登录的行为发生过两次改动:
小程序刚推出时,微信提供了 wx.login
和 wx.getUserInfo
两个接口,分别用于 登录 和 授权获取用户信息 ;其中 wx.login
是静默的,会直接返回可换取 OpenID 的 code 和用于解密数据的 session_key; wx.getUserInfo
会弹出授权弹窗,经过授权后,会返回加密的用户数据,可以由后端凭 session_key 进行解密。加密的目的是为了防止用户篡改信息,从而限制违规头像昵称的产生,这一点不在本文的讨论范围内。
此后不久, wx.getUserInfo
被改为不再主动弹出授权,而是会在未授权情况下静默失败;授权则需要使用微信提供的专门 button 组件进行触发,这是为了遏止部分小程序一启动就弹出授权,或在本来不需要用户信息的情况下超标获取的问题。对于一些使用 WebView 的小程序,由于 WebView 页面中无法承载原生的 button 组件,这次改动就需要使用一个原生的授权页面来适配。
老的这一套授权登录流程虽然有它繁琐的地方,但长久以来,我们都忘记了其中最大的一个方便点: 经过一次授权之后,小程序可以随时静默获取用户的信息。 当用户更改了昵称或头像,只要打开已授权的小程序,小程序就能直接获取到修改后的信息,而无需用户再次授权。
新授权登录的产品形态
从官方文档中可以看出,小程序授权登录机制调整后,主要存在两个改动点:
- 在
wx.login
接口中,现在可以直接获取到用户的 UnionID,而无需通过授权获得,这其实是修复了之前的 Bug,同时鼓励各小程序业务尽可能不超标获取用户信息,遵循权限最小化原则; - 新增了
wx.getUserProfile
接口,代替原来的wx.getUserInfo
,新的接口会主动弹出授权,但只能一次性获取当前的昵称头像,而且仍然需要在用户点击后调用。
从产品角度而言,这两点分别带来了不同的变化:
第一点对于需要获取 UnionID 的业务来说,可以让静默登录的能力真正可用。可以让用户在不授权昵称头像的情况下,使用尽可能多的功能,在需要时才提示授权,对于产品本身登录过程的转化率有很大帮助,同时也帮助微信保护用户隐私,是一个双赢的举措;
而第二点变化则可以看作是微信对用户信息匿名化的一个尝试。在此之前,微信推出了自定义昵称头像的功能,可以在授权时设置自定义的昵称头像,区别于微信本身的昵称头像,实现一定的匿名使用;但由于老授权登录接口是一次授权,用户一旦设置了自定义的昵称头像就无法修改。因此,为了能将一次授权改为每次授权,微信通过新增一个接口,让开发者对这一行为进行主动适配。
根据微信的要求,4 月 13 日之后,新发布的版本在支持 wx.getUserProfile
的情况下,不能再使用 wx.getUserInfo
,否则将收到默认的昵称头像。从微信开发者工具中也可以提前看到这一改动:获取到的头像会变成一张默认头像,昵称变为「微信用户」。
而适配这个接口也意味着产品交互需要发生改变,因为在此之后,一次授权只能获得一次性的昵称和头像,当用户对微信昵称头像进行了修改,小程序业务不但不能静默获取到修改后的昵称头像,完全无从得知头像昵称发生了变化,都必须通过重新授权才能实现。
对于本来需要获取用户昵称头像的小程序业务,我们探讨了一种比较合理的适配方式: 模拟原来的一次授权 、并且 提供手动修改头像昵称的入口 。通过对登录逻辑的改造,可以实现尽可能模拟原有的授权交互,只在首次使用时进行授权,但经过这一次授权后,昵称头像不会再更新;因此需要提供手动修改头像昵称的入口,让用户对「头像昵称不会自动同步、可以手动更新或修改」的行为有预期。
技术适配方案:以文档小程序为例
在文档小程序中,原有的登录接口是二合一的,即前端先调用完 wx.login
和 wx.getUserInfo
,得到 code 和加密的用户信息,然后一起调用后端接口,后端查询已有用户或创建新用户,并对用户头像昵称信息进行更新。
在新授权登录的背景下,这样的后端接口已经无法满足要求。为了尽可能还原原有的一次授权交互,我们需要先判断用户是否已授权,然后根据是否已有昵称头像,决定是否调用授权并上传用户的昵称头像。另外,在用户选择手动更新昵称头像时,也需要有接口负责上传更新用户的昵称头像。
因此,为了保持接口设计的合理性,我们将登录接口拆分成两个接口,并搭配获取业务用户信息的接口进行实现:
wx.login
由于 wx.getUserProfile
只返回了明文的昵称头像等信息,我们还需要对上传昵称头像的接口接入内容安全保护,防止用户任意上传不合规的昵称头像信息。
除此之外,在 QQ 小程序以及 PC/Mac 微信小程序的情况下,新的授权登录接口可能并没有支持,需要对不支持 wx.getUserProfile
接口的情况进行兼容,改用原有的授权登录逻辑。
总结
本文探讨了微信小程序新的授权登录机制。新的机制下,授权被局限于获取用户信息的一次性操作之内,从而在鼓励开发者尽可能少要求授权的同时,让用户隐私得到一定程度的保护。对于产品形态而言,这要求产品在交互上强化用户头像昵称的可定制性;从开发角度,则需要根据具体业务情况,投入一定的精力进行适配。
与此同时,我们也能看出在小程序授权登录内外的一些细节问题:接口频繁变动、适配期限太匆忙,会导致开发者疲于适配,对平台产生消极情绪;另外,比起头像昵称这些常规信息的定制,真正属于用户隐私的手机号码、实名身份等信息仍然需要更严格的管控,才能在隐私安全的方向上走得更远。
小程序是一个为控制力而生的平台,但我们更希望这样的控制力去约束不守规矩的开发者,管住一味营销、缺乏实用性的产品,放手让用心打磨的项目走得更远。