支付宝服务商可创建第三方应用，一个第三方应用可绑定多个商家应用，商家应用绑定成功后会获取一个app_auth_token，授权令牌 app_auth_token 在没有重新授权、取消授权或刷新授权的情况下，永久有效。

业务需要，要获取用户的user_id/open_id，

1. 获取auth_code

拼接授权url

https://openauth.alipay.com/oauth2/publicAppAuthorize.htm?app_id=APPID&scope=auth_base&redirect_uri=

其中APPID使用的不是第三方应用的appid，而是是商家应用appid，是商家应用appid，是商家应用appid,

redirect_uri是支付授权回调链接，此链接需要在商家应用处设置回调URL，否则会报错。

scope=auth_base表示用的是静默访问，如果想要用户点击授权，可设置scope=auth_user

2. 获取用户信息

使用alipay.system.oauth.token接口，此处使用第三方应用appid，参数需要加上app_auth_token，私钥和秘钥也都是第三方应用对应的配置

返回结果如下：

array (
  'access_token' => 'authbseB1c6f27c00aa9486aa67xxxxxxxx',
  'auth_start' => '2024-02-28 20:43:21',
  'expires_in' => 31536000,
  're_expires_in' => 31536000,
  'refresh_token' => 'authbseBca35f43e781c42fxxxxxxxx',
  'open_id' => '064n-fCTbsKSlcLXhb5y8WnHXxxxxxxxx',
)

如果需要使用user_id而不是open_id，目前只能将商家应用申诉退回到user_id状态。