一.官方文档说明
access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。
公众平台的API调用所需的access_token的使用及生成方式说明:
1、建议公众号开发者使用中控服务器统一获取和刷新access_token,其他业务逻辑服务器所使用的access_token均来自于该中控服务器,不应该各自去刷新,否则容易造成冲突,导致access_token覆盖而影响业务;
2、目前access_token的有效期通过返回的expire_in来传达,目前是7200秒之内的值。中控服务器需要根据这个有效时间提前去刷新新access_token。在刷新过程中,中控服务器可对外继续输出的老access_token,此时公众平台后台会保证在5分钟内,新老access_token都可用,这保证了第三方业务的平滑过渡;
3、access_token的有效时间可能会在未来有调整,所以中控服务器不仅需要内部定时主动刷新,还需要提供被动刷新access_token的接口,这样便于业务服务器在API调用获知access_token已超时的情况下,可以触发access_token的刷新流程。
4、对于可能存在风险的调用,在开发者进行获取 access_token调用时进入风险调用确认流程,需要用户管理员确认后才可以成功获取。具体流程为:
开发者通过某IP发起调用->平台返回错误码[89503]并同时下发模板消息给公众号管理员->公众号管理员确认该IP可以调用->开发者使用该IP再次发起调用->调用成功。
如公众号管理员第一次拒绝该IP调用,用户在1个小时内将无法使用该IP再次发起调用,如公众号管理员多次拒绝该IP调用,该IP将可能长期无法发起调用。平台建议开发者在发起调用前主动与管理员沟通确认调用需求,或请求管理员开启IP白名单功能并将该IP加入IP白名单列表。
公众号和小程序均可以使用AppID和AppSecret调用本接口来获取access_token。AppID和AppSecret可在“微信公众平台-开发-基本配置”页中获得(需要已经成为开发者,且帐号没有异常状态)。**调用接口时,请登录“微信公众平台-开发-基本配置”提前将服务器IP地址添加到IP白名单中,点击查看设置方法,否则将无法调用成功。**小程序无需配置IP白名单。
接口调用请求说明
https请求方式: GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET
参数说明
| 参数 | 是否必须 | 说明 |
|---|---|---|
| grant_type | 是 | 获取access_token填写client_credential |
| appid | 是 | 第三方用户唯一凭证 |
| secret | 是 | 第三方用户唯一凭证密钥,即appsecret |
返回说明
正常情况下,微信会返回下述JSON数据包给公众号:
{"access_token":"ACCESS_TOKEN","expires_in":7200}
返回参数说明
| 参数 | 说明 |
|---|---|
| access_token | 获取到的凭证 |
| expires_in | 凭证有效时间,单位:秒 |
错误时微信会返回错误码等信息,JSON数据包示例如下(该示例为AppID无效错误):
{"errcode":40013,"errmsg":"invalid appid"}
返回码说明
| 返回码 | 说明 |
|---|---|
| -1 | 系统繁忙,此时请开发者稍候再试 |
| 0 | 请求成功 |
| 40001 | AppSecret错误或者AppSecret不属于这个公众号,请开发者确认AppSecret的正确性 |
| 40002 | 请确保grant_type字段值为client_credential |
| 40164 | 调用接口的IP地址不在白名单中,请在接口IP白名单中进行设置。(小程序及小游戏调用不要求IP地址在白名单内。) |
| 89503 | 此IP调用需要管理员确认,请联系管理员 |
| 89501 | 此IP正在等待管理员确认,请联系管理员 |
| 89506 | 24小时内该IP被管理员拒绝调用两次,24小时内不可再使用该IP调用 |
| 89507 | 1小时内该IP被管理员拒绝调用一次,1小时内不可再使用该IP调用 |
二 .代码实现
2.1 创建一个对象,分别对应返回结果和过期时间,过期时间通过获取的有效时间和当前时间计算出,具体如下:
package com.grand.weichat.entity;
public class AccessToken {
private String accessToken;
private Long expireTime;//过期时间
public AccessToken(String accessToken, String expireIn) {
super();
this.accessToken = accessToken;
//计算出过期时间,当前时间加返回的有效时间7200秒(两小时)
expireTime=System.currentTimeMillis()+Integer.parseInt(expireIn)*1000;
}
public String getAccessToken() {
return accessToken;
}
public void setAccessToken(String accessToken) {
this.accessToken = accessToken;
}
public Long getExpireTime() {
return expireTime;
}
public void setExpireTime(Long expireTime) {
this.expireTime = expireTime;
}
//判断token是否过期
public boolean isExpired() {
//如果当前时间大于有效时间,则过期
return System.currentTimeMillis()>expireTime;
}
}
2.2 前面文档官方文档中有提到不应该各自去刷新,否则容易造成冲突,导致access_token覆盖而影响业务;
2.3 所以需编写方法getAccessToken根据传入的appId和appSecret获取保证每次都能获取到有效的Access_token,完整代码如下:
package com.grand.weichat.util.base;
import com.grand.weichat.entity.AccessToken;
import net.sf.json.JSONObject;
import cn.hutool.http.HttpUtil;
import lombok.extern.log4j.Log4j;
/**
* 解析XML文件
*/
@Log4j
public class WXUtilsCenter {
//token获取地址
private static final String GET_TOKEN_URL="https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET";
//存贮token和有效时间
private static AccessToken at;
/**
* 更新access_token与有效的时间信息
* @return true成功,failed失败
*/
private static boolean getToken(String appId,String appSecret){
String url=GET_TOKEN_URL.replace("APPID", appId).replace("APPSECRET", appSecret);
String strToken=null;
try {
strToken = HttpUtil.get(url);
} catch (Exception e) {
e.printStackTrace();
return false;
}
if(strToken!=null) {
JSONObject json=JSONObject.fromObject(strToken);
String token=json.getString("access_token");//token
String expirexIn=json.getString("expires_in");//有效时间
//创建token并存起来
at=new AccessToken(token, expirexIn);
}
return true;
}
//向外暴露获取token的方法
public static String getAccessToken(String appId,String appSecret) {
//token失效则重新获取
if(at==null || at.isExpired()) {
boolean tokenboo=getToken(appId,appSecret);
if(!tokenboo) {
log.info("更新access_token失败");
}
}
return at.getAccessToken();
}
}
2.4 这样后续获取access_token的时候就不会造成各自刷新的冲突,每次的使用都会是同一个access_token