本文引用了作者“大古同学”的“二维码扫码登录是什么原理”一文的主要内容,为了更好的理解和阅读,收录时有修订和改动,感谢原作者的分享。
自从微信的PC端使用扫码登陆认证逻辑后,这种方式似乎在越来越多的IM中看到(虽然我个人认为这种登录方式很酷,但并不方便,尤其手机不大身边的时候)。
▲ 上图微信PC端的扫码登录界面
最近刚好看到一个二维码的技术原理讲解视频,正好借此机会将扫码登录的详细技术原理梳理并总结一下,方便自已回顾,也希望能帮助到想在IM里开发类似功能的同行们。
补充说明:本文所涉及的扫码登陆原理并不是仅仅针对IM系统,同样适用于IM之外的其它系统。
本文是系列文章的第3篇,总目录如下:
《IM扫码登录技术专题(一):微信的扫码登录功能技术原理调试分析》 《IM扫码登录技术专题(二):市面主流的扫码登录技术原理调试分析》 《IM扫码登录技术专题(三):通俗易懂,IM扫码登录功能详细原理一篇就够》(* 本文)
在2维码扫码登录的过程中,大家可能会有疑问:这二维码安全吗?会不会泄漏我的个人信息?我的im系统敢不敢也搞一个扫码登录呢?
针对这些顾虑,我们需要了解一下二维码扫码登录背后的技术和逻辑本质。
二维码扫码登录本质上也是一种登录认证方式。
既然是登录认证,要做的也就两件事情:
举个实际的例子来理解一下:
那么扫码登录是怎么做到这两件事情的呢?
以微作的扫码登录为例:手机端应用扫PC端二维码,手机端确认后,账号就在PC端登录成功了!这里,PC端登录的账号肯定与手机端是同一个账号。不可能手机端登录的是账号A,而扫码登录以后,PC端登录的是账号B。
所以,第一件事情——“告诉系统我是谁”,是比较清楚的!
PS:通过扫描二维码,把手机端的账号信息传递到PC端,至于具体是怎么传的,我们后面再说。
第二件事情:“向系统证明我是谁”。扫码登录过程中,用户并没有去输入密码,也没有输入验证码,或者其他什么码。那是怎么证明的呢?
有些同学会想到,是不是扫码过程中,把密码传到了PC端呢?
但这是不可能的。因为那样太不安全的,客户端也根本不会去存储密码。
我们仔细想一下,其实手机端APP它是已经登录过的,就是说手机端是已经通过登录认证。所说只要扫码确认是这个手机且是这个账号操作的,其实就能间接证明我谁。
那么如何做扫码登陆的确认呢?我们后面会详细说明,在这之前我们需要先认识一下二维码! 在认识二维码之前我们先看一下一维码!
▲ 这就是一维码
所谓一维码,也就是条形码,条形码实际上就是一串数字,以平时生活中的商品为例,它上面的一维码存储的就是商品的编号。
二维码其实与条形码类似,只不过它存储的不一定是数字,还可以是任何的字符串,你可以认为,它就是字符串的另外一种表现形式。
在搜索引擎中搜索二维码,你可以找到很多在线生成二维码的工具网站,这些网站可以提供字符串与二维码之间相互转换的功能,比如 草料二维码网站。
▲ 输入一段字符串就能生成二维码
在左边的输入框就可以输入你的内容,它可以是文本、网址,文件........。然后就可以生成代表它们的二维码。
▲ 这是二维码(已经将内容模糊处理)
你也可以把二维码上传,进行”解码“,然后就可以解析出二维码代表的含义。
认识了二维码,我们了解一下移动互联网下的传统登录认证机制。
前面我们说过,为了安全,手机端它是不会存储你的登录密码的。 但是在日常使用过程中,我们应该会注意到,只有在你的应用下载下来后,第一次登录的时候,才需要进行一个账号密码的登录, 那之后呢 即使这个应用进程被杀掉,或者手机重启,都是不需要再次输入账号密码的,它可以自动登录。
其实这背后就是一套基于token的认证机制,我们来看一下这套机制是怎么运行的。
如上图所示:
const token = { acountid: '账号ID', deviceid: '登录的设备ID', deviceType: '设备类型,如 iso,android,pc......', }
然后服务端会生成一个token,用它来映射数据结构,这个token其实就是一串有着特殊意义的字符串,它的意义就在于,通过它可以找到对应的账号与设备信息。
具体是:
从前面这个流程,我们可以看到,客户端不会也没必要保存你的密码,相反,它是保存了token。
可能有些同学会想,这个token这么重要,万一被别人知道了怎么办。
实际上:知道了也没有影响, 因为设备信息是唯一的,只要你的设备信息别人不知道, 别人拿其他设备来访问,验证也是不通过的。
可以说,客户端登录的目的,就是获得属于自己的token。
限于篇幅,这方面的文章,可以详细读一下以下几篇:
《IM开发基础知识补课(一):正确理解前置HTTP SSO单点登陆接口的原理》 《IM开发基础知识补课(四):正确理解HTTP短连接中的Cookie、Session和Token》 《IM开发基础知识补课(七):主流移动端账号登录方式的原理及设计思路》(推荐)
那么在扫码登录过程中,PC端是怎么获得属于自己的token呢?不可能手机端直接把自己的token给PC端用!token只能属于某个客户端私有,其他人或者是其他客户端是用不了的。
在分析这个问题之前,我们有必要先梳理一下,扫描二维码登录的一般步骤是什么样的。这可以帮助我们梳理清楚整个过程。
如上图所示:
可以看到,二维码在中间有三个状态:待扫描、已扫描待确认、已确认。
那么可以想象:
具体解释就是:
好了,到这里,基本思路就已经清晰了,接下来我们把整个过程再具体化一下。
按二维码不同状态来看, 首先是等待扫描状态,用户打开PC端,切换到二维码登录界面时。
如上图所示:
二维码已经准好了,接下来就是扫描状态。
如上图所示:
那么为什么需要返回给手机端一个临时token呢?
临时token与token一样,它也是一种身份凭证,不同的地方在于它只能用一次,用过就失效。
在上图中的第三步骤中返回临时token,为的就是手机端在下一步操作时,可以用它作为凭证。以此确保扫码,登录两步操作是同一部手机端发出的。
最后就是状态的确认了。
如上图所示:
扫码动作的基础流程都讲完了,有些细节还没有深入介绍。
比如二维码的内容是什么?
在扫码确认这一步,用户取消了怎么处理? 这些细节都留给大家思考。
通俗地总结一下本文的扫码登陆逻辑就是:
扫码登录的本质就是:
在这个过程中,我们先简单讲了两个前提知识:
然后我们以二维码状态为轴,分析了这背后的逻辑: 通过token认证机制与二维码状态变化来实现扫码登录。
需要指出的是,前面的讲的登录流程,它适同样用于同一个系统的PC端,WEB端,移动端。
平时我们还有另外一种场景也比较常见,那就是通过第三方应用来扫码登录,比如极客时间/掘金 都可以选择微信/QQ等扫码登录,那么这种通过第三方应用扫码登录又是什么原理呢?
感兴趣的同学可以思考研究一下,欢迎在评论留下你的见解。(本文同步发布于:http://www.52im.net/thread-3525-1-1.html)
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。