微信小程序登录，是连接用户与后端服务的第一道门。流程本身不复杂，但几个关键环节如果没处理好，调试起来就够折腾的。今天，咱们就把它彻底捋清楚。

小程序前端必须先调用 wx.login 获取 code

这事儿得从源头说起：后端没法直接发起登录，那个关键的 code，必须由小程序端调用 wx.login 生成，然后传给 PHP 后端。这个 code 有效期很短，只有 5 分钟，而且是一次性的，用完就作废。

很多开发者遇到的第一个坑就在这里。前端要是漏传了 code，或者传了个空值、过期值，后端调用微信接口时，就会直接给你返回一个 "errcode":40029,"errmsg":"invalid code"。

所以，前端得确保在用户授权（比如点击“微信登录”按钮）后，立即执行 wx.login，并在它的 success 回调里拿到 res.code。接着，把这个 code，连同可选的 encryptedData 和 iv（这俩是获取手机号等敏感信息时用的），通过 POST 请求一并发送到你的 PHP 接口。记住，别在前端缓存 code，也别想着跨请求复用，每次登录都老老实实重新调一次 wx.login。

PHP 后端用 code 换取 session_key 和 openid

前端把 code 送过来了，后端的工作才真正开始。PHP 需要向微信的接口 https://api.weixin.qq.com/sns/jscode2session 发起一个 GET 请求。请求里得带上四个参数：小程序的 appid、secret、前端传来的 js_code，以及固定值 grant_type=authorization_code。

具体怎么发这个请求？用 file_get_contents 或者 cURL 都行。下面是个简单的示例：

$url = 'https://api.weixin.qq.com/sns/jscode2session?' . http_build_query([
'appid' => 'your_appid',
'secret' => 'your_appsecret',
'js_code' => $_POST['code'],
'grant_type' => 'authorization_code'
]);
$response = file_get_contents($url);
$result = json_decode($response, true);

请求发出去，拿到响应后，有几个关键点需要判断：

如果 $result['openid'] 存在，那恭喜你，兑换成功，这个 openid 就是识别用户的唯一标识。

如果返回了 "errcode":40029，那基本可以断定是 code 出了问题，要么过期了，要么用过了，要么格式不对。

如果看到 "errcode":40163，说明这个 code 被重复使用了，得让前端重新发一个过来。

还有一点需要注意：这个接口默认不返回 unionid，除非该用户已经在当前微信开放平台下绑定了其他公众号或小程序。

如何安全地持久化用户身份（不依赖 session_key）

拿到 session_key 和 openid 之后，很多人的下一个误区就来了：怎么保存用户状态？这里有个核心原则：session_key 是个临时密钥，千万别把它当宝贝存到数据库里，或者长期下发给前端。

它的使命很单纯，就是用来解密微信加密数据（比如手机号）的，而且微信官方明确说了，不保证它长期有效。

正确的做法是：用 openid（或者结合 unionid）作为用户的唯一标识，在你自己的数据库里查询或创建对应的用户记录。然后，由你的服务端签发一个独立的登录态给前端，比如一个自定义的 JWT Token，或者维护一个服务端的 Session。

具体来说，要记住这几点：

不要把 session_key 当作 token 返回给小程序前端。

不要用 session_key 来做后续的业务接口鉴权——它既不是 access_token，也不具备任何权限含义。

如果需要获取用户手机号，必须等待用户主动触发 getPhoneNumber 事件，前端把得到的 encryptedData 和 iv 传过来，后端再用此刻有效的 session_key 去解密（这是它唯一正确的用途）。

一个常见的实践是，在用户首次登录时，用他的 openid 在本地系统创建账号，并生成一个自定义的 token（比如叫 auth_token）返回给前端。之后所有需要身份验证的业务接口，都来校验这个 token 就行了。

常见报错和兼容性注意点

微信登录的流程步骤不多，但实际部署时，很容易卡在一些环境或配置细节上。下面这些报错，你可能迟早会遇到：

"errcode":40013：这是 appid 错了。确认一下，PHP 请求里填的是不是小程序的 appid，可别误用了公众号或者开放平台的。

"errcode":40125：这是 secret 错了。检查一下有没有不小心复制了多余的空格，或者用了测试号的 secret（正式号的 secret 需要在微信公众平台后台获取）。

HTTPS 要求：你的 PHP 接口域名，必须已经在小程序后台的「开发管理 > 服务器域名」中，配置了 request 合法域名，并且必须是 HTTPS 协议。

频率限制：微信的接口有调用频率限制（大概每分钟 100 次左右）。如果因为某些原因高频失败，可能会被限流。建议加上简单的日志记录和错误重试逻辑（注意，是重试请求逻辑，不是重发同一个 code）。

最后，也是最容易被忽略的一点：小程序的 appid 和 secret 属于最高机密，绝对不能硬编码在前端代码或任何公开的 JS 文件里。它们必须，且只能，保存在 PHP 服务端。即使是本地调试，也强烈建议通过 .env 文件或配置中心来管理，养成好习惯。

《夸克》非常好用的免费AI浏览器

下载APP查看