Python实现GitHub/微信OAuth2.0登录教程

GitHub OAuth2 回调拿不到 code 是因 redirect_uri 未严格全量字符串匹配，包括协议、大小写、端口、末尾斜杠等；换 token 须用 application/x-www-form-urlencoded 格式传参，不可用 JSON；微信需用 sns_access_token 调用 sns 接口；务必校验 scope 和 state。

GitHub OAuth2 授权回调拿不到 code？检查 redirect_uri 是否完全一致

GitHub 对 redirect_uri 的匹配是**严格全量字符串比对**，连末尾斜杠、协议大小写、端口（哪怕默认 80/443）都必须一模一样。本地开发时常见错误是前端跳 GitHub 登录页传的是 http://localhost:3000/callback，后端收到回调却监听在 http://127.0.0.1:3000/callback —— 这俩不等价，GitHub 就直接报 redirect_uri_mismatch 错误。

• 注册应用时填的 Authorization callback URL 必须和你发起授权请求时传的 redirect_uri 参数**逐字符相同**
• 本地调试建议统一用 http://localhost:PORT/xxx，别混用 127.0.0.1 或带 www
• 如果用了 Nginx 反代，确保后端实际收到的 request.url 是用户浏览器看到的那个地址，而不是内网地址

用 requests.post 换 token 却返回 401？注意 GitHub 要求 application/x-www-form-urlencoded

GitHub 的 token 交换接口（https://github.com/login/oauth/access_token）明确要求 Content-Type: application/x-www-form-urlencoded，且参数不能放 JSON body 里。用 requests.post(json={...}) 或直接传 dict 当 data 但没设 headers，大概率得个空响应或 401。

• 必须用 data 参数传字典，并让 requests 自动编码： requests.post("https://github.com/login/oauth/access_token", data={"client_id": "...", "client_secret": "...", "code": "...", "redirect_uri": "..."})
• 别手动加 headers={"Content-Type": "application/x-www-form-urlencoded"} —— requests 会自动加，手加反而可能出错
• 拿到响应后，用 response.text 解析，不是 .json()：GitHub 返回的是 access_token=xxx&scope=&token_type=bearer 这种 query string，得用 parse_qs(response.text) 或正则提取

微信网页授权 getAccessToken 失败？确认你用的是 sns_access_token，不是基础 access_token

微信有两个 access_token：全局的 access_token（用于管理类接口），和用户级的 sns_access_token（用于获取用户信息）。网页授权流程中，用 code 换回来的是后者，它有效期只有 2 小时，且绑定 openid 和 scope=snsapi_userinfo。拿它去调用 https://api.weixin.qq.com/cgi-bin/user/info 会失败，因为那是基础 token 的接口。

• 换 token 的地址是：https://api.weixin.qq.com/sns/oauth2/access_token（注意路径里有 sns）
• 后续查用户信息必须用这个 token + https://api.weixin.qq.com/sns/userinfo（同样带 sns）
• 微信返回的字段名是 access_token，但它本质是 sns_access_token，别和公众号后台的 access_token 混用或缓存错地方

Flask/FastAPI 中处理 OAuth 回调时，为什么用户信息总为空？别漏掉 scope 和 state 校验

GitHub 默认只返回 user:email 权限下的邮箱（还可能是私密邮箱），微信默认只返回 openid；不显式申明 scope，就拿不到昵称、头像这些。另外，state 不校验等于把登录入口敞开——攻击者可以伪造回调，把别人的 code 塞给你，冒充登录。

• 发起授权时，scope 参数必须拼对：GitHub 用空格分隔（如 "read:user user:email"），微信用逗号（"snsapi_userinfo"）
• state 必须是服务端生成的随机值，存在 session 或 Redis 里，回调时比对一致才继续；否则直接 403
• 微信回调的 code 一次性有效，用完即废；GitHub 的 code 也一样，重复使用会返回 {"error":"bad_verification_code"}

事情说清了就结束。OAuth 流程里最麻烦的从来不是写几行代码，而是每个环节的边界条件：URL 字符串是否精确匹配、HTTP 头和 body 格式是否符合文档、token 类型和作用域是否对得上、state 和 scope 这些看似可选实则关键的字段有没有被忽略。