背景:
在系统的登录流程中,我们引入了一种创新的扫码登录方式,旨在提升用户体验与安全性。此流程的核心在于通过生成并扫描二维码来实现快速、便捷的登录认证
调用流程详细说明:
-
扫码登录选择:用户首先访问系统登录页面,并主动选择扫码登录作为登录方式。
-
二维码生成与调用:
- 系统随即生成一个包含随机字符串和应用标识的二维码,该字符串用于唯一标识此次登录请求。
- 将此随机字符串与应用标识拼接至特定接口地址上,发起调用请求。
-
授权登录界面:
- 用户使用手机扫描屏幕上的二维码后,会跳转至授权登录界面。
- 用户需在此界面上点击确认,以授权登录操作。
- 接收方(通常是认证服务器)根据应用标识与随机字符串,验证并获取扫码用户的身份信息。
- 验证成功后,接收方将调用用户提供的回调业务接口,传递身份信息。
-
业务接口处理与反馈:
- 业务接口接收到身份信息后,执行身份校验逻辑。
- 校验成功后,将结果返回给特定接口,完成登录流程的闭环。
难点分析与解决方案:
- 内部集成平台的非标准接口挑战:
- 二维码生成与刷新:前端负责二维码的生成与定时刷新,确保二维码的有效性。同时,生成随机字符串以增强安全性。
- 二维码信息的安全存储与校验:
- 后端支持:在生成二维码前,通过业务系统后端调用,将二维码的唯一标识及过期时间存储在Redis中,确保信息的时效性与安全性。
- 前端状态检测与用户反馈:
- 自动刷新机制:前端实现每N分钟自动刷新二维码的功能,并通过调用后端接口获取用户登录状态,实时更新界面显示。
- 用户感知优化:通过前端交互设计,如弹窗提示、状态图标变化等,让用户能够直观感知扫码成功的结果。
- 防止截图登录的安全措施:
- 动态二维码:通过定期刷新二维码,降低截图登录的有效性。
- 安全策略:结合后端验证逻辑,如IP地址绑定、设备识别等,进一步提升登录安全性。