手机扫码二维码实现登录某个网站的操作过程为，手机登录某个APP，利用“扫一扫”功能扫描网页上的二维码，扫描成功后，提示“登录网页版XX”，同时网页上显示“成功扫描 请在手机点击确认以登录”，手机端点击“登录网页版XX”，网页跳转到用户登录后的首页。

      整个扫码登录的操作过程还是挺简单的，而且交互地实时性比较好，如果网络不是非常阻塞，整个过程还是非常快的。那它是如何实现的呢？

    其基本思想是，PC浏览器首先获得一个临时 id，这个id用二维码包装着，并且设置了有效时间，这个id不是UID（user ID），只是一个唯一的由字母和数字组合成的标识符。然后等待客户端扫描带有此 id 的二维码，二维码的转码规则是统一的，所以意味着，只要是个二维码扫描软件，谁都能拿到这个链接。拿到链接没有用，重要的是谁拿到链接（即电脑端是如何知道是哪个APP账号扫的它）。PC端浏览器通过长连接或不断轮询某个登录授权接口，查看与此id关联的二维码是否被手机客户端扫描。手机客户端扫描时，会给后端服务器（无论手机还是网页都对应着后端同一个或有相互关系的服务器）传送这个id，即发送一条信息给服务器，告诉服务器，现在是谁使用了这个二维码链接。服务器在收到这个id后，在给PC浏览器的长连接或轮询请求中响应一些不同的信息说明该二维码链接被扫描了，并要求在手机端去确认。当手机客户端点击确认后，pc浏览器端会获得服务器授信的令牌（或设置的sessionID），这样PC浏览器就可以携带这个令牌进行随后的信息交互。 图示如

     二维码链接在超时、网络断开、其他设备上登录后，此前获得的令牌或丢失、或失效，对授权过程形成有效的安全防护。

下面看一下某公司扫码登录的过程，首先看一下网站给出的二维码，

实际上任何一个二维码表示的都是一串字符串。通过草料二维码网站解析出这张二维码表示的是如下字符串：

http://mtest.[公司域名]/passport/scan_login.php?scan_source=pc&code=201903131952062593943457001ba84b

其中code是当前网页给出的一个唯一ID。每当打开一次或刷新一次，都会生成一个含有唯一id的二维码，确定登录用户的唯一性。

当打开了二维码登录页面后，我们通过控制台看网路请求，会发现网页在轮询调用接口：

 

如果没有扫码，返回的是：

jsonp1552477921883({

         "returnval":1001

})

如果手机扫了码，手机端会发送一次http://mtest.[公司域名]/index.php请求

 

该请求会携带二维码的id，它的返回信息：成功设置状态为已扫描待登录。但是手机上没点击“确认登录”的话，浏览器上继续轮回接口，

但这时接口返回的是

jsonp1552477921887({

         "returnval":1002

})

可见状态已发生了变化，当手机端点击“确认登录”后，手机端又调用一次http://mtest.[公司域名]/index.php请求

这次请求的返回信息：登录成功。而且与上次请求携带的参数几乎一样。

此时查看pc端轮询接口的请求和响应如下，

 

接口返回的是：

jsonp1552477921895({

         "returnval":1003

})

这个请求响应中，服务器同时设置了sessionID和其他一些cookie信息

HTTP/1.1 200 OK

Server: nginx/1.2.0

Date: Wed, 13 Mar 2019 11:52:39 GMT

Content-Type: text/html

X-Powered-By: PHP/5.2.10

.......

Set-Cookie: sessionID=pc_8d08c656a23b4156c173a4554db993fde21fad3dcab7bcf4bbfbb1e85fcccaa0;path=/; domain=[公司域名]

Content-Encoding: gzip

Vary: Accept-Encoding

Transfer-Encoding: chunked

Connection: Keep-alive

 

jsonp1552477921895({"returnval":1003})

     这样就PC浏览器就得到了session信息，后续的会话就可以免登陆了。

 

---

 

作者：mysimplebook
链接：https://www.jianshu.com/p/5f25c2b1ef04
来源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。