如何设计 user 表?加入第三方登录呢?

阅读本文大概需要 6.5 分钟。

作者 | 一个想简单的胖子

原文:www.jianshu.com/p/037ce80b457f

说起用户表 , 大概是每个应用/网站立项动工考虑的第一件事情 ; 用户表结构的设计 , 算是整个后台架构的基石 ; 如果基石不稳 , 待到后面需求跟进了发现不能应付 , 回过头来反复修改用户表 , 要大大小小作改动的地方也不少 ;

与其如此 , 不妨设计用户表之初就考虑可拓展性 , 争取不需要太多额外代价的情况下一步到位 ;

先前设计

id
username
password

用户名加上密码 , 解决简单需求 , 留个 ID 作为其他表的外键 ; 当然 , 那时候密码还可能是明文存储 , 好点的知道 MD5 ;

后来呢 , 随着业务需求的拓展 , 要加个用户状态 status 判断用户是否被封禁 , 注册时间和注册 IP 地址 , 上次登录时间和 IP 地址备查 (并衍生出登录记录表 , 用来判断是否异地登录等 , 在此不表) , 用户角色/权限 role (又衍生出用户角色权限关系 , 还是另文讨论) , 业务也需要个人的个人信息如真实姓名 , 地址等也一股脑往上添加 , 现在形成了一个很完整的用户关系表 ;

id
username
password
realname
address
…
status
role
register_time
register_ip
login_time
login_ip

现在问题来了 , 进入 Web2.0 时代 ,微博开放了第三方网站登录 , 用微博帐号就能登录我们的网站 , 老板说 , 这个我们得要 , 加个微博用户登录表吧 , 当然 , 得和我们自己的用户表关联 , 这个微博用户信息表如下 :

id    自增 ID
user_id    关联本站用户 ID
uid    微博唯一 ID
access_token
access_expire

这还不算完 , QQ又开放用户登录了 , 一下子要接入好多家第三方登录了 , 只能就着 “微博用户信息表” 继续加类型加判断 , 如果是每个第三方登录都新建一个表 , 肯定会疯的 ; 时代变了 , 进入了移动互联网时代 , 怎么也得支持个手机号登录吧 , 所以现在每家标配都是 : 用户名/邮箱/手机号 登录 , 外加一系列微博 , 微信等第三方登录 , 表结构如下 :

用户表

id
username
email
phone
…

用户第三方登录表

iduser_idapp_typeapp_user_idaccess_token…

用户在输入框输入 用户名/邮箱/手机号和密码 之后 , 后台判断是邮箱 , 手机号或是用户名 , 再根据条件查询是否为特定用户 ;

这个表结构能够承载未来一段时间的业务需求了 , 如果说某天冒出了一个新的登录方式 , 比如身份证号登录 , 怎么办 ? 继续在用户表加字段 ? 我觉得有更好的选择 ;

改进版

无论 username + password , 还是 phone + password , 都是一种 用户信息+密码 的验证形式;再来理解第三方登录 , 其实它也是用户信息+密码的形式 , 用户信息即第三方系统中的 ID (第三方登录一定会给一个在他们系统中的唯一标识) , 密码即 access_token , 只不过是一种有使用时效定期修改的密码 ; 所以我们把它抽象出了用户基础信息表加上用户授权信息表的形式 ;

用户基础信息表 users

id
nickname
avatar

用户授权信息表 user_auths

id
user_id
identity_type    登录类型 (手机号/邮箱/用户名) 或第三方应用名称 (微信 , 微博等)
identifier    标识 (手机号/邮箱/用户名或第三方应用的唯一标识)
credential    密码凭证 (站内的保存密码 , 站外的不保存或保存 token)

这个系统最大的特色就是 , 用户信息表不保存任何密码 , 不保存任何登录信息 (如用户名 , 手机号 , 邮箱) , 只留有昵称 , 头像等基础信息 ; 所有和授权相关 (且基本前端展示无关的) , 都放在用户信息授权表 , 用户信息表和用户授权表是一对多的关系 ; 说起来太抽象 , 表现如下 :

users

|id|nickname|avatar|
|1|慕容雪村|http://…/avatar.jpg|
|2|魔力鸟|http://…/avatar2.jpg|
|3|科比|http://…/avatar3.jpg|

user_auths

|id|user_id|identity_type|identifier|credential|
|1|1|email|123@example.com|password_hash(密码)|
|2|1|phone|13888888888|password_hash(密码)|
|3|1|weibo|微博UID|微博access_token|
|4|2|username|moliniao|password_hash(密码)|
|5|3|weixin|微信UserName|微信token|

说说具体处理 , 用户发来 邮箱/用户名/手机号和密码 请求登录的时候 , 依然是先判断类型 , 以某用户使用了手机号登录为例 , 使用 select * from user_auths where type= 'phone' and identifier= '手机号' 查找条目 , 如有 , 取出并判断 password_hash (密码)是否和该条目的 credential 相符 , 相符则通过验证 , 随后通过 user_id 获取用户信息 ;

如果使用第三方登录 , 则只要判断 select * from user_auths where type= 'weixin' and identifier= '微信UserName' , 如果有记录 , 则直接登录成功 , 使用新的 token 更新原 token ; 假设与微信服务器通信不被劫持的情况下无需判断凭证问题 ;

优缺点

通过这个表结构设计 , 使许多原来纠结的问题瞬间解决 , 说说优点 :

1. 站内登录类型无限拓展 , 代码改动小 ; 如果真要支持身份证登录了 , 只要少许几处改动 , 无需修改表结构 ;

2. 第三方登录类型可用工场模式批量拓展 , 新增第三方登录类型的开发成本降到最低 ;

3. 原来条件下 , 应用需要验证手机号是否已验证和邮箱是否已验证 , 需要相对应多一个字段如 phone_verified 和 email_verified , 如今只要在 user_auths 表中增加一个统一的 verified 字段 , 每种登录方式都可以直观看到是否已验证情况 ;

基于信任第三方登录的数据准确性 , 默认第三方登录都是已验证 ; 如果用户修改登录手机号或登录邮箱 , 也能清晰跟踪每一步的完成度 ;

4. 可按需绑定任意数量的同类型登录方式 , 即一个用户可以绑定多个微信 , 可以有多个邮箱 , 可以有多个手机号 , 是不是很赞 ? 当然你也可以限制一种登录方式只有一条记录 ;

5. 在 user_auths 添加相应的时间和 IP 地址 , 就可以更加完整地跟踪用户的使用习惯 , 比如 , 已经不使用微博登录两年多 , 已经绑定微信 300 天

6. 即使完全使用第三方帐号登录 , 可在前端做到 “无需注册本站帐号” 的效果 ; 过去许多网站虽然支持第三方帐号登录 , 但出于留存用户等原因 , 第一次微博登录回来 , 让你再填写一套他们网站的邮箱 , 密码等信息 , 也就失去了微博登录的最大意义 ;

从技术上说 , 原有的结构导致除了在微博用户表建立一个条目外 , 必须在用户表建立一条对应的条目 , 而且一般情况下不能让用户表里的邮箱或者用户名和密码留空 ; 用户体验好的 , 邮箱自动生成微博ID@id.weibo.sina.com , 密码则随机生成 ;

至于体验不好的 , 只能说早知道还不如不用微博登录呢 ! 现在呢 , 我们的这个用户表结构则完全没有这样的困扰 , 只要微博提供的昵称和头像地址就可以生成这个用户 , 再关联他的微博登录记录 ; 而且我们的表结构意味着 , 用户可以解除他的所有登录方式 , 于是这个账户变彻底变成了没法登录的僵尸 (解决办法是在代码里加一个限制 , 至少保留一条user_auths的记录) ;

如果你非得得到用户的邮箱 , 那么每次登录的时候看到他不存在一条 identify_type 为 email 的记录 , 则弹窗弹死他 , 让他赶快填邮箱 , 否则啥都别干 ;

7. 提升了逻辑思维能力 , 抽象出事物本质是码农必备职业素养 , 通过对用户表结构的学习研究 , 提高了鄙人的各方面技能 , 从此写代码一路顺风顺水…

8. 如果你说邮箱和手机号就是用户信息的组成部分 , 他们依然需要体现在 users 表中作为前端展示?没问题 , users 表尽管拓展 , users 表里依然有email , phone , 但他们仅仅作为 “展示用途” , 和昵称 , 头像 , 或者性别这些属性没有本质区别 ;

在用户信息表与用户授权登录拆分后 , 用户信息表可以随时增加任意字段 , 加星座 , 加生日 , 都没问题 , 只需要在前端展示时多几个输入框 , 录入时多几行代码 , 与用户登录相关的问题做到最大程度解耦 ;

有利必有弊 , 说说缺点 :

1. 原先的用户判断由 1 次 SQL 变成 2 次 SQL 请求 ;

2. 用户同时存在邮箱 , 用户名 , 手机号等多种站内登录方式时 , 改密码时必须一起改 , 否则就变成了 邮箱 + 新密码 , 手机号 + 旧密码访问了 , 肯定是很诡异的情况 ;

如果考虑到这一点 , 又要在 user_auths 表中新增一个表示站内登录方式或第三方登录方式的标识字段 ;

3. 代码量增加了 , 有些情况下逻辑判断增加了 , 难度增大了 ; 举个例子 , 无论用户是否已登录 , 无论用户是否已注册过 , 都是点击同一链接前往微博第三方授权后返回 ,

可能出现几种情况 :

  • 该微博在本站未注册过 , 很好 , 直接给他注册关联并登录;
  • 该微博已经在本站存在 , 当前用户未登录 , 直接登录成功;
  • 该微博未在本站注册 , 但当前用户已经登录并关联的是另一个微博帐号 , 作何处理取决于是否允许绑定多个微博帐号;
  • 该微博未在本站注册过 , 当前用户已登录 , 尝试进行绑定操作;
  • 该微博已经注册 , 用户又已使用该帐号登录 , 为何他重复绑定自己 ;
  • 该微博已经在本站存在 , 但当前用户已经登录并关联的是另一个微博帐号 , 作何处理 ? 切换用户或是报错 ? (画一个流程图能更好描述这个问题) 这个问题与采用的数据结构没有关系 , 只是在做第三方帐号注册登录时遇到的各种情况 , 在此一并整理 ;

本文分享自微信公众号 - 程序员的成长之路(cxydczzl)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-12-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Web行业观察

WebRTC,P2P技术,IPv6的一些思考

不过放心,这篇文章不会只告诉你p2p”是什么“,也不会仅仅告诉你”为什么“,而要深刻探讨它的设计”是否合理“。

14930
来自专栏腾讯云数据库(TencentDB)

微信支付用的数据库开源了

腾讯TBase是一款腾讯自研高性能HTAP数据库,提供高性能的OLTP和OLAP能力,同时保证可扩展全局一致性分布式事务(ACID),为用户提供高一致性的分布...

14350
来自专栏伪君子的梦呓

怎么样爬取朋友圈的内容?

AirtestIDE 是网易出的跨平台的 UI 自动化编辑器,可以用来做自动化测试和爬虫。

11970
来自专栏腾讯NEXT学位

小程序入门,看这一篇就够了!

? 文章为实战中踩坑经历,以及解决方案。同时是自己的一个项目回顾,在这里分享给大家,希望能帮助到大家。文章内代码需要左右滑动噢~ 登录授权 授权(基本信息,手...

8520
来自专栏magicodes

Magicodes.Pay,打造开箱即用的统一支付库,已提供ABP模块封装

Magicodes.Pay,是心莱科技团队提供的统一支付库,相关库均使用.NET标准库编写,支持.NET Framework以及.NET Core。目前已提供A...

7940
来自专栏布谷科技

短视频平台开发优势以及开发的难点

短视频,如今已经成为一种网络传播主流。短视频平台开发的快速兴起,究其原因,既有其形式的简约、技术的成熟等基础性因素,也源于它适应了当前人们的新媒体化生存需求,如...

10620
来自专栏编程分享

CBrother脚本10分钟写一个拯救“小霸王服务器”的程序

到了一家新公司,接手了一坨c++服务器代码,到处内存泄漏,这服务器没有数据库,挂了后重启一下就好了,公司就这么凑活着用了几年了,定时重启吧,也不是天天挂,不定时...

24570
来自专栏腾讯技术工程官方号的专栏

黑科技小程序,无需前台登记直接刷脸秒住酒店!

? 相信大家都有过出去住酒店略不爽的经历,就是在酒店前台办理入住或退房要等不少时间,人多的时候还要等更久。因为前台需要确认你的入住订单,没问题了再刷脸登记身份...

9920
来自专栏量子位

这个中国科学家的救命AI,登上了国外热门榜

一个借助微博挽救自杀者的团体登上了“美国科技热搜榜”Techmeme,这个志愿者团队“树洞救援团”使用AI技术,分析微博上的言论,自动发现可能要自杀的人,之后通...

7020
来自专栏量子位

腾讯把微信正在用的图计算框架开源了,十亿级节点图计算时间从天级缩短到分钟级

与其他图计算框架相比,将算法计算时间从天级缩短到分钟级,而且性能也全面领先,原本动辄需要数百台服务器的计算,现在最少只需要十台服务器。

7120

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励