微信小程序登录态校验必须通过code2Session获取openid并比对，session_key仅用于解密且会轮换；权限需分三层：网关级验证token和openid、路由级校验角色、方法级做数据归属校验。

微信小程序登录态校验必须走 code2Session 且不能省略 openid 比对

很多开发者误以为只要拿到 code 后调用一次微信接口，缓存返回的 session_key 就能长期校验，这是危险的。微信不返回永久 session，session_key 本身无业务意义，也不能直接用于权限判断；真正具备身份唯一性的只有 openid（或 unionid）。权限校验的第一步，永远是确认当前请求携带的 token（或自定义凭证）是否能映射到一个有效的、未过期的 openid。

实操建议：

• 用户首次登录时，用 code 调用微信 https://api.weixin.qq.com/sns/jscode2session，拿到 openid + session_key，生成服务端 token（如 JWT），payload 中必须包含 openid 和过期时间，不要存 session_key
• 后续所有接口都校验该 token，并从中解析出 openid，再查数据库确认该用户是否存在、是否被禁用
• 禁止在前端 localStorage 存 session_key 或用它拼接签名——微信明确说明 session_key 会轮换，且不可跨设备复用

权限分层：从「登录态」到「角色/菜单/数据级」要拆成三道关卡

把“有没有登录”和“能不能看这个页面”混在一个中间件里判断，后期维护成本高、

第一层（网关级）：AuthMiddleware —— 验证 token 有效性、解析 openid、写入 $request->user

第二层（路由级）：RoleMiddleware —— 查数据库获取该 openid 对应的 role_id，比对当前接口所需角色（如 admin、editor），不匹配直接 403

第三层（方法级）：dataScope() —— 在具体 service 方法里，根据用户所属部门、创建人 ID、数据状态等动态拼接 where 条件，例如：where('dept_id', $user->dept_id)->where('status', 'active')

常见错误现象：管理员能看到全部数据，但某个编辑只能看自己提交的订单 → 如果只靠第二层角色控制，就会漏掉数据隔离逻辑，导致越权读取。

getAccessToken 不等于权限校验，别把它塞进鉴权中间件

有些团队把获取微信后台 access_token 的逻辑（调用 https://api.weixin.qq.com/cgi-bin/token）和用户登录态校验耦合在一起，结果一上线就发现接口响应变慢、token 频繁刷新失败。这是典型职责错位。

access_token 是公众号/小程序后端调用微信 API 的凭证，有效期 2 小时，需全局缓存（Redis），和小程序用户完全无关。而用户登录态校验依赖的是 jscode2session 返回的 openid，两者生命周期、作用域、存储方式全都不一样。

实操建议：

• 用独立命令或定时任务刷新 access_token 并写入 Redis，key 命名为 wechat:access_token，设置过期时间 7000 秒（预留缓冲）
• 任何需要调用微信消息推送、模板消息的业务代码，直接从 Redis 读 access_token，失败才触发刷新
• 鉴权中间件里只处理用户凭证，绝不出现 curl_setopt($ch, CURLOPT_URL, 'https://api.weixin.qq.com/cgi-bin/token') 这类调用

敏感操作必须二次校验，比如删除订单前再查一遍 openid === order.user_id

前端传来的 order_id 是不可信的。即使你已在路由层做了角色判断（比如“编辑”角色允许访问 /api/order/delete），也不能跳过数据归属校验。攻击者可手动构造请求，把别人订单的 ID 发过来。

这一步不是“多此一举”，而是最后一道防线。尤其当你的系统存在多角色共存、数据软删除、状态流转等复杂逻辑时，仅靠角色无法覆盖所有边界情况。

示例场景：

• 用户 A 提交了订单 #1001，用户 B 是同部门编辑，有编辑权限
• 若只校验“B 属于该部门”，B 就能删掉 #1001 —— 但业务要求只能删自己提交的
• 必须在删除逻辑内显式查库：Order::where('id', $id)->where('user_id', $request->user->openid)->delete()
• 如果用 Laravel，推荐在 Model 的 deleting 事件里加钩子，统一拦截非本人操作

容易被忽略的是：这种校验必须发生在事务内，且不能被缓存绕过。一旦用了 Eloquent 的 find() 再判断，就可能因并发导致条件竞争 —— 直接用带条件的 delete() 或 update() 更安全。

# php  # laravel  # redis  # js  # 前端  # 微信小程序  # 微信  # access  # qq  # 小程序  # 中间件  # Session  # Token  # 接口  # CGI  # delete  # 并发  # 作用域  # 事件  # 数据库  # https  # 的是  # 这是  # 比对  # 就能  # 能看  # 用户登录  # 里加  # 第二层  # 就会  # 首次 

相关栏目： 【 网站优化151355 】 【 网络推广146373 】 【 网络技术251813 】 【 AI营销90571 】

相关推荐： BootStrap整体框架之基础布局组件  如何用低价快速搭建高质量网站？  Win11怎么设置默认图片查看器_Windows11照片应用关联设置  Bootstrap CSS布局之列表  如何获取上海专业网站定制建站电话？  制作企业网站建设方案,怎样建设一个公司网站？  Laravel Session怎么存储_Laravel Session驱动配置详解  阿里云高弹*务器配置方案｜支持分布式架构与多节点部署  北京网站制作费用多少,建立一个公司网站的费用.有哪些部分,分别要多少钱？  JavaScript 输出显示内容(document.write、alert、innerHTML、console.log)  智能起名网站制作软件有哪些,制作logo的软件？  如何在局域网内绑定自建网站域名？  如何彻底卸载建站之星软件？  如何选择可靠的免备案建站服务器？  Android Socket接口实现即时通讯实例代码  极客网站有哪些,DoNews、36氪、爱范儿、虎嗅、雷锋网、极客公园这些互联网媒体网站有什么差异？  java中使用zxing批量生成二维码立牌  Laravel storage目录权限问题_Laravel文件写入权限设置  LinuxCD持续部署教程_自动发布与回滚机制  详解阿里云nginx服务器多站点的配置  Laravel怎么处理异常_Laravel自定义异常处理与错误页面教程  使用豆包 AI 辅助进行简单网页 HTML 结构设计  Laravel如何设置自定义的日志文件名_Laravel根据日期或用户ID生成动态日志【技巧】  Javascript中的事件循环是如何工作的_如何利用Javascript事件循环优化异步代码？  Laravel如何实现密码重置功能_Laravel密码找回与重置流程  消息称 OpenAI 正研发的神秘硬件设备或为智能笔，富士康代工  EditPlus中的正则表达式 实战(1)  Android自定义listview布局实现上拉加载下拉刷新功能  Laravel如何处理表单验证？（Requests代码示例）  国美网站制作流程,国美电器蒸汽鍋怎么用官方网站？  Swift中循环语句中的转移语句 break 和 continue  javascript读取文本节点方法小结  宙斯浏览器文件分类查看教程 快速筛选视频文档与图片方法  JS中使用new Date(str)创建时间对象不兼容firefox和ie的解决方法(两种)  php结合redis实现高并发下的抢购、秒杀功能的实例  网易LOFTER官网链接 老福特网页版登录地址  canvas 画布在主流浏览器中的尺寸限制详细介绍  Laravel定时任务怎么设置_Laravel Crontab调度器配置  html5源代码发行怎么设置权限_访问权限控制方法与实践【指南】  HTML5空格和nbsp有啥关系_nbsp的作用及使用场景【说明】  如何在 Pandas 中基于一列条件计算另一列的分组均值  Android中AutoCompleteTextView自动提示  手机钓鱼网站怎么制作视频,怎样拦截钓鱼网站。怎么办？  如何自己制作一个网站链接,如何制作一个企业网站，建设网站的基本步骤有哪些？  如何在 React 中条件性地遍历数组并渲染元素  Laravel中Service Container是做什么的_Laravel服务容器与依赖注入核心概念解析  Laravel如何处理跨站请求伪造（CSRF）保护_Laravel表单安全机制与令牌校验  哪家制作企业网站好,开办像阿里巴巴那样的网络公司和网站要怎么做？  大连网站制作公司哪家好一点,大连买房网站哪个好？  详解ASP.NET 生成二维码实例（采用ThoughtWorks.QRCode和QrCode.Net两种方式）