扫码登录的实现原理

网页版微信刚推出时，无数人被它的登录方式惊艳了一下，不需要输入用户名密码，打开手机微信扫一扫，便自动登录。日常我们还发现，大部分人手机上装的QQ、淘宝、微博等软件也支持手机APP扫码登录。开发这些APP的企业，都有相对应的网站。为了让用户在使用他们的网站时，登录更加方便和安全，于是都提供了使用手机扫二维码就可以登录的服务。

我们知道，从原理上讲，二维码其实就是一段文本编码，那么，如何用它实现快捷登录呢？

很多小伙伴会觉得很神奇，网页上只是显示了个二维码，它怎么就知道是哪个手机扫到了二维码，并且进行登录的呢？而且，登录完成以后，还能直接把用户信息显示给用户。我们来分析一下这个服务的详细实现流程。

首先普及几个概念：

redis：基于内存的高性能key-value数据库，由于是在内存中进行，减少了读操作，可降低服务器的cpu和内存压力，在本文中用来手机端发送的身份信息进行验证；

token:令牌，标记，用于在计算机系统中用来标识临时身份信息；

uuid：通用唯一识别码（Universally Unique Identifier）的缩写。

扫码登录的大概原理如下：

用户打开网站的登录页面，向浏览器的服务器发送获取登录二维码的请求。服务器收到请求后，随机生成一个uuid，将这个id作为key值存入redis服务器，同时设置一个过期时间，过期后，用户的登录二维码需要刷新重新获取。同时，将这个key值和验证字符串合在一起，通过二维码生成接口，形成一个二维码图片。然后，将二维码图片和uuid一起返回给用户浏览器。

浏览器拿到二维码和uuid后，会每隔一秒向浏览器发送一次，登录是否成功的请求，请求中携带有uuid作为当前页面的标识符这里有的同学就会奇怪了，服务器只存了个uuid在redis中作为key值，怎么会有用户的id信息呢？这个id信息其实是由手机服务器存入redis中的。具体操作如下：

浏览器拿到二维码后，将二维码展示到网页上，并给用户一个提示：请掏出您的手机，打开扫一扫进行登录。用户拿出手机扫描二维码，就可以得到一个验证信息和一个uuid。由于手机端已经进行过了登录，在访问手机端的服务器时，参数中都会携带一个用户的token，手机端服务器可以从中解析到用户的userid（从token中取值而不是手机端直接传userid是为了安全起见，直接传userid可能会被截获和修改，token是加密的，被修改的风险会小很多）。手机端将解析到的数据和用户token一起作为参数，向服务器发送验证登录请求（这里的服务器是手机服务器，手机端的服务器跟网页端服务器不是同一台服务器）。服务器收到请求后，首先对比参数中的验证信息，确定是否为用户登录请求接口。如果是，返回一个确认信息给手机端。

手机端收到返回的确认信息后，将登录确认框显示给用户（防止用户误操作，同时使登录更加人性化）。用户确认登录操作后，手机再次发送请求。服务器拿到uuid和userid后，将用户的userid作为value值存入redis中以uuid作为key的键值对中。

登录成功后，浏览器再次发送请求的时候，浏览器端的服务器就可以得到一个用户id，并调用登录的方法，生成一个浏览器端的token，在浏览器再次发送请求的时候，将用户信息返回给浏览器，登录成功。这里存储用户id而不是直接存储用户信息是因为手机端的用户信息不一定和浏览器端的用户信息完全一致。

整理/张卫伟 图/杨殊宇