在给学校做一个小程序，请各位看看这个用户认证流程有问题吗？

我也挺好奇，不知道应该从什么角度思考这类认证问题。比如这位同学要是换了一个微信怎么办？

@3rdFaust 换微信账号考虑到是小概率事件，所以打算通过发送邮件申请的方式，手动去解除 openId 和学校账号之间的关联。

图呢

首先，你怎么拿到有关学校账号权限？？？这个需要授权的。

@cjw1115 图已重新上传

@octobersnow 这个不是问题，本身即是学校内部的项目

根据我以前做我们学校助手的经验。
最大的问题，你怎么验证这名学生的学生账号呢？学校一般是没有这种接口的吧，简单的办法就是你让学生上传自己的学号密码，然后你自己在服务端去用他的账号和密码登陆学校相关页面，登陆成功就认为这个账号鉴权成功。但是这相当于学生的密码直接暴露给你了，如果你是个第三方，那有个信任问题。

当然，如果你能直接访问学校的数据库或者你就代表学校官方，那就不存在这个问题了。

没问题

前面都说了，是内部项目，授权认证什么的不用去考虑；
说到这个图里的流程，我觉得有一点没有考虑到，就是 token 的过期机制。不要认为本地有 token 就可以了，还要验证 token 是否有效；对应的业务场景为：多账号登录、修改密码、安全问题强制下线等。

不太了解你的详细需求哈，无责任推荐腾讯微校，毕竟官方出品

@cjw1115 oauth 啊，第三方登录不都是跳转到官方的页面上去登录吗

请 lz 注意一下鉴权，万一有人想各种尝试，请主机一定要后端判断 UA 字符串有没有 MiniProgram (好像 m 是不大写的，自己抓包试试吧)，注意安全，Redis 记得设置密码，签发 Token 最好带个一次性的有效期，尽可能退出后既失效，微信第一次请求有对话框，后续只要不删微信就没有，直接可以 OAuth 获取信息，服务器前后端分离，就酱

不用 token，每次请求拿到 openid 查一下数据库有没有就行了，当然用也没事，token 设计还是比较麻烦的。

@panpanpan 讲道理，学校不会给你提供 Oauth 的