公众号网页授权登录接口的租用/出售管理源码(系统内名为”梦曦公众号无限回调系统”),原生 PHP + MySQL 开发。它把微信网页授权登录能力封装成可按域名/IP 授权、按周期收费的服务:后台配置公众号 appid/appsecret 与授权地址,用户端添加自己的站点并付费后,即可在站点嵌入回调文件获得 H5 微信登录与 QQ 登录。系统已内置易支付对接、用户中心与完整后台。注意:源码中回调文件与支付网关写死了作者远程地址、含默认后台账号与演示密钥,部署前必须替换(详见文末安全风险提示);向第三方提供微信网页授权涉及平台规则,商用前请自行评估合规。
适用场景
- H5 游戏、H5 网站等需要微信/QQ 登录获取用户昵称与头像能力的场景
- 想搭建一套”按域名授权、按周期续费”的登录接口服务平台进行学习
- 研究原生 PHP 多租户授权管理、易支付对接与第三方登录接入的代码结构
技术栈与运行环境
- 前端:layui + Bootstrap,原生 HTML/CSS/JS,后台使用 layui 组件
- 后端:原生 PHP(PDO 数据库操作,非第三方框架)
- 数据库:MySQL(表前缀 auth_,UTF-8)
- 运行环境:PHP 5.x + MySQL,需开启 session;php 需支持 PDO_MySQL
- 其他依赖:易支付(EPay)支付网关、cloud.qqlogin.com(QQ 登录)、微信公众平台网页授权
功能亮点
- 公众号网页授权登录接口(H5微信登录):admin/webset.php 配置 appid、appsecret、公众号授权域名与远程授权地址;授权码表 auth_code 存储回调用的 codeHtml,校验通过后向已授权站点返回微信 OAuth 授权页(mxkj.php、授权代码.php 为客户端回调文件)
- 多域名/多IP 授权租用与续费套餐:user/siteadd.php 添加授权域名或服务器 IP,user/xufei.php 支持月/季/年续费,IP 与域名分别计价(auth_config 中 price_yue/price_jd/price_nian 等),后台可管理站点状态
- 完整后台管理(多租户):admin 含用户管理、站点管理、授权码管理、状态/套餐管理、版本管理、公告管理、盗版名单与 QQ 绑定等模块,对应 auth_user/auth_site/auth_code/auth_status/auth_version/auth_notice/auth_pirate 等数据表
- 用户中心:user 含注册登录、添加站点、站点列表、续费、绑定 QQ、对接文档(doc.php)等页面,形成”自助开通—付费—使用”的闭环
- QQ 登录接口:user/bindqq.php 结合 qqLogin() 函数调用第三方 QQ 登录服务,可将 web 站点接入 QQ 登录
- 易支付对接:EPay 目录含 Config.php、Pay.php、Notify.php、Util.php,已对接易支付,支持在用户续费/开通时发起支付并处理异步回调通知
安装与部署提示
- 环境:PHP + MySQL(PDO),将 qe_20230302_174957.sql 导入数据库(库名/账号可按 config.php 调整)
- 修改根目录 config.php,填写数据库主机、端口、库名、用户名与密码(源码默认 dbName/dbUser/dbPwd 均为 qe)
- 上传全部程序文件到站点根目录;源码已带 install/install.lock,数据库已就绪,如需重装请删除该文件并清空数据库后访问 /install
- 访问后台 /admin(默认账号 admin,密码 123456,务必第一时间修改),在”网站设置”中替换自己的公众号 appid/appsecret、授权域名、远程授权地址与易支付密钥
- 将 mxkj.php 或 授权代码.php 部署到需要使用登录接口的站点作为回调入口,并在用户中心添加该站点域名完成授权
截图与演示说明
根据源码目录结构,部署后可查看以下页面与模块:
- 前台首页:index/index.php(产品列表:H5 微信登录接口、QQ 登录接口,含对接文档/公告入口)
- 授权查询页:index/web.php(按授权域名/邮箱/站长 QQ 查询状态)
- 用户中心:user/index.php、siteadd.php、sitelist.php、xufei.php、bindqq.php、doc.php
- 后台管理:admin/index.php、userlist.php、sitelist.php、codelist.php、statuslist.php、versionlist.php、noticelist.php、piratelist.php、webset.php、bindqq.php
- 回调与接口:mxkj.php、授权代码.php、apis.php(对外 API,含 searchUrl/searchMail/searchAdminQq 等)
- 支付模块:EPay/Config.php、EPay/Pay.php、EPay/Notify.php、EPay/Util.php
常见问题
运行前需要注意什么?
需 PHP + MySQL(PDO)环境;后台默认账号 admin / 密码 123456 必须立即修改。auth_config 中 appid、appsecret、apiurl、auth_domain 以及 EPay 的网关地址与密钥均为作者演示值,回调文件 mxkj.php、授权代码.php 还写死了远程授权域名,部署前必须全部替换为自有配置。源码大量查询直接拼接请求参数,存在 SQL 注入隐患,上线前建议做参数化改造。
适合二次开发吗?
源码为原生 PHP,结构按 includes(公共类/函数)、admin(后台)、user(用户中心)、index(前台)、EPay(支付)清晰划分,授权、续费、支付、登录逻辑相对完整,便于按需改版。但远程授权依赖、硬编码密钥与注入隐患需先处理;同时该模式涉及向第三方提供微信网页授权,商用前请评估平台规则与授权合规。
安全风险提示
特别提示:本源码未检测安全风险文件,下载后请务必进行安全审计,删除恶意代码后再部署使用!
另外在分析中发现以下风险,部署前必须处理:
- 路径:mxkj.php、授权代码.php / 类型:疑似远程依赖/远程加载 / 证据:写死远程授权 API 地址(http://mx.tywrreq.cn/apis.php),回调文件需向该远程地址校验域名授权,否则授权逻辑失控、流量经第三方 / 建议:部署前改为自有授权服务地址,避免依赖他人服务器
- 路径:EPay/Config.php / 类型:疑似硬编码密钥 / 证据:写死支付网关 https://pay.tywrreq.cn/、secret 与 appid 均为作者账号 / 建议:替换为自有易支付商户的网关、密钥与 appid
- 路径:qe_20230302_174957.sql(auth_config / auth_admin)/ 类型:疑似硬编码账号/密钥 / 证据:公众号 appid(wx5c50b270ed9c57b9)、appsecret、apiurl 均为演示值;后台默认 admin / 密码 MD5(123456),admin QQ 2464589955 与登录 IP 写死 / 建议:上线前修改后台密码、清理预设账号与登录 IP 限制,并替换公众号与远程地址配置
- 路径:includes/class/*.php、includes/class/api.class.php / 类型:疑似注入隐患 / 证据:SearchUrl/SearchMail/GetCode 等查询直接拼接
_GET/_POST 参数,仅做 htmlspecialchars 过滤,未使用参数化 / 建议:上线前改用预处理语句,防止 SQL 注入
- 路径:includes/function.php / 类型:疑似远程调用 / 证据:qqLogin() 依赖 cloud.qqlogin.com;apiInfo() 向远程 http://$ip:3312/api/index.php(WHM 风格 API)发起请求 / 建议:评估这些外部依赖的可用性与安全性,按需替换或移除
- 路径:源码内品牌与版权信息(open.jrv9.com、蜀ICP备2022025770号-1、QQ 2464589955 等)/ 类型:授权/版权不明 / 证据:前台与配置内含原作者品牌、备案号与联系方式 / 建议:商用或正式上线前确认授权来源,并替换为自己品牌与备案信息
- 路径:install/install.lock、parse.log(约47MB)、user/notify.log、EPay/notify.log / 类型:残留文件 / 证据:install.lock 存在会导致无法重装;多个日志文件体积较大且含回调记录 / 建议:部署前删除 install.lock(如需重装)、清理或转移日志文件
下载说明
源码仅供学习研究、测试部署和二次开发参考。微信网页授权登录受微信公众平台规则约束,向无公众号的第三方提供授权属合规敏感行为,下载后如需商用或正式运营,请自行确认已取得合法授权、遵守平台规则并承担相应合规责任,禁止用于违法违规用途。


