为什么手机登录记住密码后不用再次登录
在了解扫码登录之前我们先了解一下其他内容, 首先为了安全,手机端它是不会存储你的登录密码的。但是在日常使用过程中,我们应该会注意到,只有在你的应用下载下来后,第一次登录的时候,才需要进行一个账号密码的登录, 那之后呢 即使这个应用进程被杀掉,或者手机重启,都是不需要再次输入账号密码的,它可以自动登录。
其实这背后就是一套基于token的认证机制,我们来看一下这套机制是怎么运行的,
1、账号密码登录时,客户端会将设备信息一起传递给服务端
2、如果账号密码校验通过,服务端会把账号与设备进行一个绑定,存在一个数据结构里
然后服务端会生成一个token,用它来映射数据结构,这个token其实就是一串有着特殊意义的字符串,它的意义就在于,通过它可以找到对应的账号与设备信息,
1、客户端得到这个token后,需要进行一个本地保存,每次访问系统API都携带上token与设备信息。
2、服务端就可以通过token找到与它绑定的账号与设备信息,然后把绑定的设备信息与客户端每次传来的设备信息进行比较, 如果相同,那么校验通过,返回AP接口响应数据, 如果不同,那就是校验不通过拒绝访问
从前面这个流程,我们可以看到,客户端不会也没必要保存你的密码,相反,它是保存了token。可能有些同学会想,这个token这么重要,万一被别人知道了怎么办。实际上,知道了也没有影响, 因为设备信息是唯一的,只要你的设备信息别人不知道, 别人拿其他设备来访问,验证也是不通过的。
可以说,客户端登录的目的,就是获得属于自己的token。
那么在扫码登录过程中,PC端是怎么获得属于自己的token呢?不可能手机端直接把自己的token给PC端用!token只能属于某个客户端私有,其他人或者是其他客户端是用不了的。
二维码登录本质上也是一种登录认证方式。既然是登录认证,要做的也就两件事情!
1、告诉系统我是谁
2、向系统证明我是谁
比如账号密码登录,账号就是告诉系统我是谁, 密码就是向系统证明我是谁;比如手机验证码登录,手机号就是告诉系统我是谁,验证码就是向系统证明我是谁。
大致流程
1、手机登录
扫描前,手机端应该是已登录状态
手机输入个人账号密码登录后,服务器存着用户的身份信息,然后服务器返回给手机端用户的身份信息,登录之后手机端相当于拿到了身份的识别标志
2、PC端二维码的获取
PC端向服务端发起请求,告诉服务端,我要生成用户登录的二维码,把PC端设备信息也传递给服务端,因为每台电脑都有这个网页,所以需要绑定一下PC端的设备信息
服务端收到请求后,它生成二维码ID,并将二维码ID与PC端设备信息进行绑定(两者组合就是个身份识别标记),然后把二维码ID与PC端设备绑定信息和用户跳转地址返回给PC端,PC端收到上面三者信息后,生成二维码(二维码中肯定包含了ID)
3、
为了及时知道二维码的状态,客户端在展现二维码后,PC端的js定时器带着二维码ID和跳转地址url不断的发送ajax请求轮询服务端,比如每隔一秒就轮询一次,请求服务端告诉当前二维码的状态及相关信息,查看是未登录,还是正在登录,还是已经登陆,
4、手机扫码
用户用手机去扫描PC端的二维码,通过二维码内容取到其中的二维码ID与PC端设备绑定信息和跳转地址url,
再调用服务端接口将手机端的身份信息与电脑端二维码ID和跳转的url一起发送给服务端,
服务端接收到后,它可以将身份信息与二维码ID进行绑定,生成临时token,然后返回给手机端,也就是确认登录页面
因为PC端一直在轮询二维码状态,所以这时候二维码状态发生了改变,它就可以在界面上把二维码状态更新为已扫描
5、状态确认
手机端在接收到临时token后会弹出确认登录界面,用户点击确认时,手机端携带临时token(用户身份信息与二维码ID绑定)用来调用服务端的接口,告诉服务端,我已经确认
服务端收到确认后,根据二维码ID绑定的设备信息与账号信息,生成用户PC端登录的token
这时候PC端的轮询接口,它就可以得知二维码的状态已经变成了”已确认”,并且从服务端可以获取到用户登录的token,并且去数据库取用户的信息
PC端轮询接口,确认已经登录,然后可以跳转页面同时显示用户信息
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/211845.html原文链接:https://javaforall.net
