Appsecret与access_token

## appsecret

appsecret 是微信公众平台为每个小程序分配的唯一密钥，与 appid（小程序唯一标识）成对存在，共同作为小程序的 “身份凭证”。

- appid 是公开的（如小程序代码中可直接使用），用于标识小程序身份；
- appsecret 是私密的，用于验证 “调用者是否为小程序的合法开发者”。

> 作用

appsecret 是服务器端调用微信核心接口的 “钥匙”，所有需要验证小程序身份的接口，都必须通过 appid + appsecret 组合进行身份校验，主要场景包括：

- 获取 access_token（微信接口调用的全局凭证）；
- 通过 code2Session 接口换取用户的 openid 和 SessionKey（登录流程的核心步骤）；
- 调用支付、模板消息、小程序码生成等敏感接口时的身份验证。

## access_token

access_token 是微信服务器颁发的全局唯一接口调用凭证，用于验证 “开发者服务器是否有权调用微信开放接口”。它是一种 “短期授权凭证”，所有需要微信服务器支持的核心功能（如发送模板消息、获取用户手机号、生成小程序码等），都必须在请求头或参数中携带 access_token。

> 作用

access_token 是小程序调用微信接口的 “通行证”，没有它，几乎所有需要与微信服务器交互的功能都会失效，典型应用场景包括：

- 发送订阅消息（subscribeMessage.send 接口）；
- 获取小程序码（wxacode.createQRCode 接口）；
- 调用微信支付相关接口（如统一下单）；
- 获取用户手机号（需结合 SessionKey，但接口调用需 access_token）；
- 其他微信开放平台文档中明确要求携带 access_token 的接口。

> 获取方式

access_token 不能直接获取，需通过 appid + appsecret 向微信服务器申请。

请求接口：

```bash
GET https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET  
```

验证通过后，返回包含 access_token 和有效期的 JSON：

```bash
{  
  "access_token": "56_Q5LxX...（约200字符的字符串）",  
  "expires_in": 7200  // 有效期，单位：秒（固定2小时）  
}

```

## 危害

![image-20251010171245288](https://oss.maolin101.com/image-20251010171245288.png-101.webp)

且每日access_token的调用次数为2000次，如果达到次数，当日系统无法使用且次日自动恢复，用户访问公众号会一直跳转到公众号的关注也。