最近发现很多网站都用起了手机扫码登陆功能,又百度了下,总结一下其实现原理,以淘宝为例。
扫码登陆的过程大致如下:
1.浏览器输入网站展示登录二维码信息等。
2.手机通过扫描二维码,确认登录。
3.网页检测到手机允许登录,生成用户信息登录成功。
扫描之后为该网址:
https://login.m.taobao.com/qrcodeCheck.htm?lgToken=2194021d239d0914a1002491f05a41c7&tbScanOpenType=Notification
其中和浏览器建立长连接,来检测二维码扫描状态或者是否过期。
其中主要原理
①:用户 访问淘宝网页版,服务器为这个会话生成一个全局唯一的 ID,上面的 URL 中 lgToken 就是这个 ID,此时系统并不知道访问者是谁。此时和浏览器建立长连接,实时监测二维码状态。(1000为未过期,1004为二维码过期状态)突然间发现淘宝好像使用的jsonp解决跨域问题的。
②:用户打开自己的手机淘宝并扫描这个二维码,并提示用户是否确认登录。
③:手机上的淘宝是登录状态,用户点击确认登录后,服务器就得到了用户以及全局唯一ID,服务器将这个 ID 和用户 淘宝号绑定在一起,在后台重新生成令牌。
④:通知网页,这个 ID 对应的账号为用户 ,网页版加载用户 的信息,至此,扫码登录全部流程完成