Python实现GitHub微信OAuth登录教程

本文深入剖析了Python中实现GitHub和微信OAuth2.0登录时最易踩坑的核心细节：GitHub要求redirect_uri严格全量字符串匹配（协议、大小写、端口、斜杠缺一不可），换token必须用application/x-www-form-urlencoded格式而非JSON，微信则需明确区分并正确使用sns_access_token（非基础access_token）调用sns专属接口，同时强调scope声明与state校验绝非可选——漏掉任一环节都可能导致code获取失败、token交换401、用户信息为空或严重安全风险；真正决定OAuth成败的，往往不是逻辑框架，而是这些文档里藏得深、实践中错得多的边界条件。

GitHub OAuth2 授权回调拿不到 code？检查 redirect_uri 是否完全一致

GitHub 对 redirect_uri 的匹配是**严格全量字符串比对**，连末尾斜杠、协议大小写、端口（哪怕默认 80/443）都必须一模一样。本地开发时常见错误是前端跳 GitHub 登录页传的是 http://localhost:3000/callback，后端收到回调却监听在 http://127.0.0.1:3000/callback —— 这俩不等价，GitHub 就直接报 redirect_uri_mismatch 错误。

• 注册应用时填的 Authorization callback URL 必须和你发起授权请求时传的 redirect_uri 参数**逐字符相同**
• 本地调试建议统一用 http://localhost:PORT/xxx，别混用 127.0.0.1 或带 www
• 如果用了 Nginx 反代，确保后端实际收到的 request.url 是用户浏览器看到的那个地址，而不是内网地址

用 requests.post 换 token 却返回 401？注意 GitHub 要求 application/x-www-form-urlencoded

GitHub 的 token 交换接口（https://github.com/login/oauth/access_token）明确要求 Content-Type: application/x-www-form-urlencoded，且参数不能放 JSON body 里。用 requests.post(json={...}) 或直接传 dict 当 data 但没设 headers，大概率得个空响应或 401。

• 必须用 data 参数传字典，并让 requests 自动编码： requests.post("https://github.com/login/oauth/access_token", data={"client_id": "...", "client_secret": "...", "code": "...", "redirect_uri": "..."})
• 别手动加 headers={"Content-Type": "application/x-www-form-urlencoded"} —— requests 会自动加，手加反而可能出错
• 拿到响应后，用 response.text 解析，不是 .json()：GitHub 返回的是 access_token=xxx&scope=&token_type=bearer 这种 query string，得用 parse_qs(response.text) 或正则提取

微信网页授权 getAccessToken 失败？确认你用的是 sns_access_token，不是基础 access_token

微信有两个 access_token：全局的 access_token（用于管理类接口），和用户级的 sns_access_token（用于获取用户信息）。网页授权流程中，用 code 换回来的是后者，它有效期只有 2 小时，且绑定 openid 和 scope=snsapi_userinfo。拿它去调用 https://api.weixin.qq.com/cgi-bin/user/info 会失败，因为那是基础 token 的接口。

• 换 token 的地址是：https://api.weixin.qq.com/sns/oauth2/access_token（注意路径里有 sns）
• 后续查用户信息必须用这个 token + https://api.weixin.qq.com/sns/userinfo（同样带 sns）
• 微信返回的字段名是 access_token，但它本质是 sns_access_token，别和公众号后台的 access_token 混用或缓存错地方

Flask/FastAPI 中处理 OAuth 回调时，为什么用户信息总为空？别漏掉 scope 和 state 校验

GitHub 默认只返回 user:email 权限下的邮箱（还可能是私密邮箱），微信默认只返回 openid；不显式申明 scope，就拿不到昵称、头像这些。另外，state 不校验等于把登录入口敞开——攻击者可以伪造回调，把别人的 code 塞给你，冒充登录。

• 发起授权时，scope 参数必须拼对：GitHub 用空格分隔（如 "read:user user:email"），微信用逗号（"snsapi_userinfo"）
• state 必须是服务端生成的随机值，存在 session 或 Redis 里，回调时比对一致才继续；否则直接 403
• 微信回调的 code 一次性有效，用完即废；GitHub 的 code 也一样，重复使用会返回 {"error":"bad_verification_code"}

以上就是《Python实现GitHub微信OAuth登录教程》的详细内容，更多关于的资料请关注golang学习网公众号！