現(xiàn)在我們很多的應(yīng)用(如微信公眾號(hào)����、B站網(wǎng)頁等)都是支持手機(jī)掃碼登錄���,在網(wǎng)頁上打開應(yīng)用后就會(huì)彈出使用手機(jī)掃碼登錄的頁面如下:
此時(shí)用戶只需使用微信(微信已經(jīng)是登錄狀態(tài)的,不然是掃描不了的)掃一下圖中的二維碼�����,隨后手機(jī)上就出現(xiàn)了讓用戶點(diǎn)擊確認(rèn)登錄的按鈕����,當(dāng)用戶點(diǎn)擊確認(rèn)之后就會(huì)自動(dòng)登錄到應(yīng)用。整個(gè)流程如下圖所示:
那么手機(jī)掃碼登錄是如何實(shí)現(xiàn)的呢��?下面分析手機(jī)掃碼登錄的原理�。
1、手機(jī)登錄和PC登錄的原理
1.1 手機(jī)登錄原理
(a)用戶在手機(jī)客戶端上輸入賬號(hào)和密碼并且攜帶設(shè)備信息一起請(qǐng)求服務(wù)器
(b)服務(wù)器接收到請(qǐng)求后�,驗(yàn)證用戶的賬號(hào)和密碼是否正確,如果不正確則給予異常的提示��;如果正確就生成token給客戶端
(c)手機(jī)客戶端通過攜帶token和設(shè)備的信息的方式請(qǐng)求服務(wù)器���,服務(wù)器驗(yàn)證token是否有效���,token有效的情況下驗(yàn)證是否為之前申請(qǐng)登錄的客戶端設(shè)備��,如果不是之前申請(qǐng)登錄的設(shè)備也不允許訪問服務(wù)器
手機(jī)登錄中需要攜帶設(shè)備的信息是為了防止token泄露后��,攻擊者使用其他的設(shè)備攜帶當(dāng)前的token訪問服務(wù)器資源���。
1.2 PC登錄原理
(a)PC端輸入賬號(hào)和密碼請(qǐng)求登錄服務(wù)器
(b)服務(wù)器接收到請(qǐng)求后,驗(yàn)證用戶的賬號(hào)和密碼是否正確��,如果不正確則給予異常的提示���;如果正確就生成token給客戶端
(c)PC端攜帶token請(qǐng)求訪問服務(wù)器�,服務(wù)器驗(yàn)證token是否有效��,token有效可以處理請(qǐng)求并返回響應(yīng)
2����、手機(jī)掃碼登錄的原理
了解了手機(jī)登錄和PC端登錄的原理后���,理解手機(jī)掃碼登錄的原理就很簡(jiǎn)單了�����,手機(jī)掃碼登錄的實(shí)質(zhì)是通過已經(jīng)在APP上登錄的用戶幫助PC端的應(yīng)用到服務(wù)器上申請(qǐng)pc-token��,拿到pc-token后就和PC端登錄服務(wù)器的原理一樣了����。手機(jī)掃碼登錄的完整流程如下:
2.1 生成二維碼
用戶打開PC端的應(yīng)用后PC端會(huì)向服務(wù)器申請(qǐng)二維碼id,服務(wù)器此時(shí)會(huì)生成一個(gè)唯一的二維碼id��,然后服務(wù)器將二維碼id����、二維碼過期時(shí)間等信息存放Redis中并且返回二維碼id給PC端。
PC端獲取到二維碼id后利用其生成一個(gè)用戶可掃描的二維碼�,當(dāng)然PC端需要監(jiān)聽到二維碼的狀態(tài)變更信息(服務(wù)器上對(duì)二維碼的變更操作需要實(shí)時(shí)的通知PC端)。
2.2 用戶掃描二維碼
生成二維碼之后�����,用戶使用手機(jī)上已登錄的APP掃描這個(gè)二維碼����,掃描后會(huì)發(fā)送一個(gè)攜帶手機(jī)token、設(shè)備信息和二維碼id的請(qǐng)求訪問服務(wù)器����。
當(dāng)服務(wù)器接收到登錄請(qǐng)求后會(huì)驗(yàn)證手機(jī)token的有效性,如果手機(jī)token是有效的并且token也是當(dāng)前的設(shè)備申請(qǐng)的�,此時(shí)服務(wù)器會(huì)生成一個(gè)臨時(shí)的token并修改二維碼的狀態(tài)為等待用戶確認(rèn)登錄的狀態(tài)�����,然后返回token信息給手機(jī)客戶端��,手機(jī)客戶端此時(shí)會(huì)彈出用戶確認(rèn)的按鈕��。與其同時(shí)服務(wù)器會(huì)通知客戶端當(dāng)前的二維碼狀態(tài)處于等待用戶確認(rèn)登錄的狀態(tài)����。
2.3 用戶手機(jī)上確認(rèn)登錄
用戶在手機(jī)上點(diǎn)擊確認(rèn)登錄后會(huì)發(fā)送一個(gè)攜帶臨時(shí)token的請(qǐng)求到服務(wù)器上���,服務(wù)器驗(yàn)證臨時(shí)token是否有效���,如果臨時(shí)token是有效的,服務(wù)器就會(huì)生成一個(gè)pc-token以及修改二維碼的狀態(tài)為登錄狀態(tài)的一系列操作����。服務(wù)器將pc-token和二維碼狀態(tài)等信息緩存到Redis中�����,然后服務(wù)器還要推送pc-token和二維碼變更信息到PC端���,PC端感知到二維碼狀態(tài)變更之后就隱藏二維碼和跳轉(zhuǎn)到主頁中����。
通過以上的步驟就是實(shí)現(xiàn)了一套完整的手機(jī)掃碼登錄流程,在這個(gè)過程中每次的二維碼信息變更都是服務(wù)器推送給PC客戶端的�����,那么服務(wù)器如何做到推送數(shù)據(jù)給PC客戶端呢�?這里實(shí)現(xiàn)服務(wù)器和客戶端通信的方案有很多種,如常見有WebSocket�����、SSE和客戶端輪詢等方案����,龍蝦之前也有過分享服務(wù)端和客戶端實(shí)時(shí)通信的文章,有興趣的朋友可以點(diǎn)擊看下:整理常見的實(shí)時(shí)消息推送方案
總結(jié):
(1)手機(jī)掃碼登錄中二維碼的狀態(tài)變更涉及到服務(wù)器和客戶端之間的通信問題��,有多種實(shí)現(xiàn)方案����;
(2)手機(jī)掃碼登錄中核心是已在APP上登錄的用戶使用APP幫助PC客戶端拿到服務(wù)器頒發(fā)的pc-token來實(shí)現(xiàn)PC端的登錄。
該文章在 2024/6/28 10:44:05 編輯過
400 186 1886
