Django实现微信OAuth2.0登录获取用户信息

本文深入剖析了在Django中集成微信OAuth2.0登录时获取用户openid的核心难点与实战解决方案，直击开发者最常踩的“拿不到openid”陷阱：从redirect_uri配置的毫厘之差（协议、域名、路径、尾部斜杠必须完全一致）、code参数的正确提取与时效性管理，到requests调用微信接口时的参数校验、Content-Type误用、返回字段命名陷阱；进一步详解如何安全持久化openid与access_token、避免用户名冲突、实现跨公众号/小程序的unionid绑定，并强调并发安全、会话配置及微信响应errcode校验等易被忽视的关键细节——帮你绕过90%的线上坑，稳稳落地微信登录。

为什么 Django 里拿不到 openid？常见卡点在这儿

微信 OAuth2.0 不是直接返回 openid，而是先给一个临时 code，你得拿它去换。很多人卡在第一步：前端跳转到微信授权页后，回调地址没配对、redirect_uri 没 URL encode、或者 Django 视图没正确接收 code 参数。

• 微信后台配置的 redirect_uri 必须和实际请求中完全一致（含协议、域名、路径、结尾斜杠），连 http:// 和 https:// 都不能混
• 回调视图必须能处理 GET 请求，并从 request.GET.get('code') 提取参数，别写成 POST 或漏判空值
• code 一次性有效，5分钟过期，且只能用一次；调试时反复刷新页面会导致“invalid code”错误

requests.post 调微信接口时 400 或 401 怎么排

微信的 https://api.weixin.qq.com/sns/oauth2/access_token 接口对参数敏感，错一个就报错，而且错误信息模糊（比如 invalid request 其实可能是 appid 写错了）。

• 必传参数只有四个：appid、secret、code、grant_type=authorization_code；少一个或拼写错（比如 app_id）都会 400
• secret 是公众号后台的“AppSecret”，不是小程序的，别拿错环境
• 不要手动加 Content-Type: application/json —— 微信只认 application/x-www-form-urlencoded，用 requests.post(..., data={...}) 自动处理就行
• 返回结果是 JSON，但字段名是中文拼音：openid、access_token、refresh_token，注意别写成 open_id

拿到 access_token 和 openid 后，怎么安全存进 Django 用户体系

微信不返回手机号、邮箱等唯一标识，openid 是用户在当前公众号下的唯一 ID，但它不能直接当用户名或主键用——因为同一人关注多个公众号，openid 不同；换成小程序又不一样。

• 别把 openid 当 User.username 存，Django 默认字段长度 150，而微信 openid 可达 28 位，够用但语义错乱；建议新建字段，如 WeiXinUser.openid
• 如果想关联已有账号（比如用户先注册过邮箱，再用微信登录），得靠绑定逻辑：用 access_token 调 https://api.weixin.qq.com/sns/userinfo 拿 unionid（仅限同一微信开放平台下），否则无法跨公众号/小程序识别同一人
• access_token 有 2 小时有效期，别硬存进数据库当长期凭证；需要刷新时用 refresh_token（首次换 token 时返回）调 /sns/oauth2/refresh_token

Django 视图里怎么避免重复创建用户或会话混乱

微信登录本质是第三方认证，Django 的 auth.login() 要求传入一个已存在的 User 实例，但你没法保证每次回调都对应老用户。

• 第一次登录时，得检查 openid 是否已存在；不存在就创建新 User（可设 username=f'wx_{openid[:10]}' 避免冲突），再建关联模型
• 别在视图里直接 User.objects.create()，用 get_or_create() 更安全，防止并发请求撞出两个用户
• 如果用了 django.contrib.sessions，确保 SESSION_COOKIE_SECURE 和 CSRF_COOKIE_SECURE 在 HTTPS 环境下为 True，否则微信回调走 https，Django 可能不写 cookie

微信 OAuth2 流程里最易被忽略的是：回调地址的协议/端口/路径必须和公众号后台登记的逐字一致，连 trailing slash 都算不同 URL；还有就是 code 换 access_token 成功后，别忘了校验返回里的 errcode 字段 —— 微信习惯性把成功响应也包一层 {"errcode":0,"errmsg":"ok",...}，不检查就默认成功，容易埋坑。

终于介绍完啦！小伙伴们，这篇关于《Django实现微信OAuth2.0登录获取用户信息》的介绍应该让你收获多多了吧！欢迎大家收藏或分享给更多需要学习的朋友吧~golang学习网公众号也会发布文章相关知识，快来关注吧！