-
问题描述
qq,淘宝等应用在pc端app或网页版都有扫码登陆功能(下述统称为网页端)。用户无需输入用户名和密码,通过在手机端app登陆后,扫网页中的二维码即可直接登陆。
-
原理分析:网页端+服务器
用户在浏览器点击“二维码登陆”向服务器发送扫码登陆请求,服务器收到请求后,随机生成一个uuid(通用唯一标识符:universally unique identifier),将这个id作为key值存入redis(数据库)服务器,同时设置一个过期时间,过期后,用户得刷新重新获取二维码登陆。服务器将uuid这个key值和本公司的验证字符串组合在一起,通过二维码生成接口生成一个二维码图片,然后将二维码图片和uuid一起返回给浏览器。
-
原理分析:手机端+手机端服务器
服务器返回二维码图片到浏览器后,会提示信息让用户拿出手机扫码。用户扫码获取二维码中的字符串。因为手机端已经登陆过,所以发送登陆请求时参数会携带token,服务器通过解析获得userid(客户端不直接发送userid是因为可能被截取,而token是加密的,更安全),对比验证信息验证是否为用户请求登陆信息,验证成功则会返回一个响应。手机端获得一个确认登陆框(避免用户手误)。确认登陆后手机端再发送一个请求。服务器端收到uuld与userid后,将userid作为uuld值的value值存入redis服务器中。
-
原理分析:登陆成功
然后,浏览器再次发送请求的时候,浏览器端的服务器就可以得到一个用户Id,并调用登录的方法,声成一个浏览器端的token,再浏览器再次发送请求的时候,将用户信息返回给浏览器,登录成功。这里存储用户id而不是直接存储用户信息是因为,手机端的用户信息,不一定是和浏览器端的用户信息完全一致。
-
总流程图
