深入理解微信二维码扫码登录的原理

文章目录

- 1、二维码应用场景及安全问题
- 2、二维码登录的本质
- 3、二维码验证机制的原理解析
- 4、深入理解二维码在登录的交互过程
- 5、总结感悟

1、二维码应用场景及安全问题

二维码使用广泛，生活处处都有二维码的使用场景。

就拿我前几天遇到的事情来说一说，那天我去骑共享单车出门，发现单车的二维码上面贴着别的二维码（不是，打广告也不能这样打吧 -_- …），用我在生活中遇到的一个小小的案例来引出主题，可见，二维码现在已经被使用的非常广泛了。所以一种东西的使用量到达一定程度之后，好不好用已经不是人们唯一关心的问题了，安全问题是现在用户越来越重视的！

所以二维码的安全性到底有没有保障呢， 有朋友会问了，我扫了你的码，你会不会把我银行卡密码给 “搞” 走了？ 这问题提的非常的好啊，接下来，我们就一起来分析一下，二维码背后的原理和实现，就能轻松的得到这个问题的答案啦。Let’s Go！

2、二维码登录的本质

二维码其实就是一种认证方式，比如我们电脑登录微信，就需要我们用手机扫描电脑二维码，扫描后手机微信就会弹出一个登录确认窗口，询问我们是否确认登录。

你有没有思考过，为什么毫无相干的两个设备，会有如此的联系呢。其实这就是这个二维码发挥的作用了。

这个二维码就是建立起手机和电脑的媒介（中介），抽象地来理解，我们扫描整个二维码识别的过程中，二维码就做了两件事：

“我” 是谁
如何证明 “我” 就是我

好了，那我们应该怎么理解这两句话呢。

就拿我们扫描二维码在电脑登录微信这件事来举例吧。

扫码：

我们 “用手机扫描电脑的二维码” 时，这个时候就是 “向电脑 (向系统) 说明我是谁 ”。

扫描后，就会出现这个界面，系统已经识别到了我的微信号：

这一步就相当于 “我用手机告诉电脑系统我是谁” 了。

但是现在手机微信和电脑微信还没建立一个双向的关系，现在手机告诉了电脑 “微信账号”，但是还没授权（认证），所以现在暂时无法登陆。

不理解授权（认证）意思的朋友，可以把授权（认证）理解为 “输出密码验证”。也就是刚刚扫码只是验证了 “ 账号 ”，还没验证 “ 密码 ”，所以肯定还无法登陆（还无法建立连接）。

现在就来到了第二步，“如何证明我就是我”，也就是向系统证明我是谁，可以类比于 “输入密码” 的环节。此时电脑微信 “阻塞” 到这个窗口，在等待手机微信授权登陆：
在这里插入图片描述

若手机点击 “登录”，则相当于我们给了这个账户的密码，账号密码都对了，那不自然就登录成功了吗。（注意这里只是类比，不是真的传输密码！）

看到这里，小伙伴们对于二维码的登录认证的这个功能已经有了一定的理解了。

那小伙伴们又有疑问了，“我手机确认登录的时候，是不是把我的密码给传过去了，那这样我的密码会不会在传输过程中被劫持了（害怕…）？”，这个问题问的好啊，接下来我们就针对这个问题再解析一波，跟大家一起深入理解一波。往下看。

3、二维码验证机制的原理解析

先回答一下上面的问题，我们需要知道，密码是不会在客户端被获取的，密码在网络中的传播一般不可能是明文传输，所以在安全方面，是有保障的。

二维码能够扫码登录的原理，就是基于 token 机制，什么是 token 呢？这个概念暂且放一放，待会再来说。

我们现在先来想象一个场景，比如现在我们去某电商平台买东西，我们购物的流程是 “打开平台 -> 登录账号 -> 点击商品 -> （加入购物车） -> 购买商品”，这个过程会跳转到不同的页面完成对应的功能服务。但是在系统实现层面来讲，这里面一般会被拆分为多个微服务模块，比如说登录、购物车、购买页…，一般都是作为不同的模块 “去耦合 ” 来提供服务的，但是虽然在不同的模块实现功能，但是这个操作流程对于用户来说是不可感知的，用户只知道 “登录 - 加购 - 购买 - 付款…”，所以这些不同模块之间就需要建立起一个链接，将用户信息在不同模块间 “共享”。那这个 “共享” 操作，我直接把用户的信息（包括密码和其他敏感信息）直接明文传输给另一个模块可以吗（比如现在有登录模块 A 与购买模块 B，用户登录后，将 A 模块就已经有了用户信息，A 模块此时把用户信息明文传输给 B 模块），这样是有问题的，如果说有人在模块间把你传输的信息拦截掉了，信息就会被窃取，这就不安全了。

所以现在怎么做的呢？现在使用的是 token 的机制。

token：

token 就是按照一定规则生成的 字符串 ，字符串可以包含用户信息（包括密码等）。

这里说的 “一定规则”，可以自定义，其实可以把它理解为一种加密算法，只要加密算法和解密算法统一即可。举个例子，我们可以使用 JWT 规则。（由 JWT 规则生成的字符串包含三部分信息：（1）jwt 头信息；（2）有效载荷，包含主体信息（用户信息）；（3）签名哈希（防伪标志）。jwt 规则生成的 token 字符串是一个很长的字符串，字符之间通过. 分隔符分为三个子串）

我们从 A 模块，跳转到 B 模块时，用户的信息就以 token 的形式携带过去，B 模块解析这个 token 字符串，就能获取到用户信息（这里就涉及到一套 token 的解析规则了，篇幅原因，这里先暂时不讲），其实就很像一套加密 / 解密的流程。

那会不会有人有这样的疑惑呢，如果 token 被别人截取了怎么办？ 用户信息不是照样泄露了吗？其实 token 只能属于某个客户端私有，其他人或者其他客户端是用不了的。也就是我们在扫了 PC 端的二维码后，手机端不会直接将 token 马上传输给 PC 端，而是中间有经过一步绑定阶段，先将手机端与 PC 端两者绑定起来，再将用户信息生成这个 token 字符串发送给 PC 端，然后 PC 端解析 token 后获取到用户信息，然后就能进行后续操作了。

这里的绑定操作就是通过一个 uuid（全球唯一）。

我们通过一个序列图来了解整个过程：

注：关注公众号 “啊泽Coding” ，后台回复 “0501” 获取上图源文件。

注意：

第 6 步的绑定身份信息不包括密码等信息。只是简单的一些对外的信息，比如头像，昵称等。
上图中还有一些状态信息没画出来，比如 PC 端对二维码的定期更新（二维码有过期时间），如果 PC 端显示的二维码长时间未被扫描，则会出现如下情况：

这样就完成了整个登录的全流程，不知道坚持看到这里的你会不会有些启发呢。

这个整个登录验证过程在客户端和服务器间形成闭环，可以有效杜绝木马和病毒等危害。

4、深入理解二维码在登录的交互过程

看完前面的解析，已经对微信的扫码登录机制比较清晰了，下面为帮助小伙伴更好的理清里面一些细节，我们再进入深入理解下。

刚刚说了，PC 端与手机端是通过一个全球唯一的 uuid 绑定的，而且还有过期时间，怎么验证这一说法呢，我们可以打开” 微信网页版 “（https://wx.qq.com/），点开 F12查看

如果过了 30s 未扫码，界面就会更新二维码的信息，并返回错误码408

408 错误码代表 “请求超时”。

如果我们完成扫码登录，则页面会绑定到我们传输的用户基本信息（头像、昵称等），并显示在页面，同时返回 201 状态码，表示请求成功并且服务器创建了新的资源。（此时二维码已经和手机端的微信建立了绑定关系了）

此时网页正在等待用户在手机确认登录，如果用户确认登录，页面就会返回状态码 200，表示服务器已经成功处理了请求。

此时用户就登录操作完成。接着就会跳转到网页版微信页面，包含用户信息的 token 字符串也成功传输到了网页版的微信，网页版微信也就完成了整个登录过程了。

5、总结感悟

二维码在生活中的应用非常广泛，上面所讲的二维码的登录验证场景只是我们常接触的一类应用场景，还有其他很多的场景，比如扫码付款，扫了这个付款码在付款过程会不会造成一些个人敏感信息的泄漏呢，这也是我们可以深入探究的一个问题，安全问题在现在社会越来越得到重视，但是安全漏洞事件还总是频频发生，这也是我们未来需要不断进步的一个方面之一，安全问题有保障了，用户在使用产品的过程中才更有幸福感。