网页扫码登录原理及过程
现实中我们经常会用上扫码登录的方式,可以借助微信、qq等oauth2认证方式,也可以通过APP
实现扫码登录。那么现在我们介绍下通过app实现扫码登录的一系列原理,及实现的过程。
扫码的过程分析
- 打开登录页面,展示一个二维码(web)
- 打开APP扫描该二维码后,APP显示确认、取消按钮(app)
- 这时候登录页面展示被扫描的用户头像等信息(web)
- 用户在APP上点击确认登录(app)
- 页面登录成功,并进入主应用程序页面(web)
原理分析
- 页面展示的二维码内容(包含一个ticket或者叫token也行),在后台临时缓存中很重要
- 该ticket是关联扫码人信息及后台用户库的关键
安全性分析
- 该ticket是随机生成、可以是随机串、url等。只要保证其内容唯一即可。
- 肯定是登录APP后才可以扫描,所以接收扫描结果的通道要对APP安全。防止第三方模拟请求(关键)。
实现过程
1. 开发一个登录页面,支持用户名、密码登录、同时可以切换成二维码登录
2. 当切换成二维码登录时,从后端接口获取一个ticket生成二维码,并且开始从后台轮训扫描结果
返回结果可以是单独ticket串,也可以是url(方便通过其他扫码工具扫描后转向公司宣传页面)
每隔1~2秒轮循环后台扫描结果。
3. 后端返回ticket的的接口过程
- 创建一个2分钟有效的唯一ticket串(全局唯一随机码),可以借助redis缓存来做时效性控制。
- 存储redis中键为ticket值,value默认为unknown表示等待扫描(app扫描会改变value)
- 把生成的ticket放入session域中,这样轮训状态接口就可以不附带ticket(进一步增强了安全性)
代码参考:
@ResponseBody
@RequestMapping(value = "/qrcode/generate",method = RequestMethod.POST)
public Map<String,String> generateQrCode(HttpServletRequest request){
String qrcode = qrcodeService.createQrcode();
//二维码登录ticket 放入session中
request.getSession().setAttribute(QRCODE_TICKET_KEY,qrcode);
Map<String,String> map = new HashMap<>();
map.put(QRCODE_TICKET_KEY,domainUrl+"ierp/qrcode/redirect?q="+qrcode);
return map;
}
$qrcodeService#createQrcode()
/**
* 创建一个2分钟有效的用来登录的二维码
*/
public String createQrcode(){
String qrCodeTicket;
while (true){
qrCodeTicket = "sso"+RandomStringUtils.randomAlphanumeric(30);
if(redisTemplate.hasKey(QRCODE_REDIS_KEY_PREFIX+qrCodeTicket)){
continue;
}
//生成登录ticket对应的缓存key,2分钟有效 , key存在则有效,key不存在表示该ticket失效
redisTemplate.boundValueOps(QRCODE_REDIS_KEY_PREFIX+qrCodeTicket).set("unknown",TIMEOUT, TimeUnit.MINUTES);
break;
}
return qrCodeTicket;
}
4. 后端轮询扫描状态的接口详解
- 页面轮询接口不需要向服务器传参,借助session域中的ticket值来向后端获取扫描结果
- 二维码存在多种状态
- 二维码超时,状态为-2,获取的value为空,提示无效的二维码。
- 二维码待扫描,状态为-1,获取的value为初始值unknown。
- 二维码扫描成功,未确认登录,状态为0,获取的value为包含用户信息的json串,confirm 为false。(获取该状态后可以展示扫描用户的头像)
- 二维码扫描陈工,确认登录,状态为1,获取的value为包含用户信息的json串,confirm 为true。(获取该状态后可以提交之前,搞个过渡动画)
参考代码:
/**
* 获取二维码的扫码状态
* @param qrCodeTicket
* @return
*/
public QrcodeStatus getQrcodeStatus(String qrCodeTicket){
String value = redisTemplate.boundValueOps(QRCODE_REDIS_KEY_PREFIX + qrCodeTicket).get();
if(value==null||"".equals(value)){
return new QrcodeStatus(-2,"无效的二维码");
}else if(value.equals("unknown")){
return new QrcodeStatus(-1,"待扫描的二维码");
}else{
try {
JsonNode jsonNode = objectMapper.readValue(value, JsonNode.class);
String accountName = jsonNode.path("accountName").asText();
String accountPic = jsonNode.path("accountPic").asText();
boolean confirm = jsonNode.path("confirm").asBoolean();
if(confirm){
return new QrcodeStatus(1,accountName,accountPic,"确认登录");
}else {
return new QrcodeStatus(0,accountName,accountPic,"未确认登录,用来显示头像");
}
} catch (IOException e) {
e.printStackTrace();
}
return new QrcodeStatus(-3,"未知错误");
}
}
5. APP扫描二维码及点击确认登录的后台接口(注意该接口只开放给app调用,本示例是后端api,其实前面还有一层app网关代理,已经做了相应的令牌校验、sign校验)
- app扫描的前提必须已经登录。
- app扫描网页二维码,向后台请求接口,传入用户标识、扫描状态(确认状态)、ticket值
- 后台判断app提交过来的参数,并校验后,更新redis缓存中ticket的value(存入用户信息json及confirm状态)。
- 校验失败的相关错误信息要在app端提示出来的。
@ApiOperation("扫码登录")
@RequestMapping(value = "/qrcode/login", method = RequestMethod.POST)
public AppResult qrLogin(
@ApiParam(value = "手机号", required = true) @RequestParam("accountName") String accountName,
@ApiParam(value = "账套编号", required = false) @RequestParam(value = "entCode",required = false) String entCode,
@ApiParam(value = "个人头像url地址", required = false) @RequestParam(value = "accountPic", required = false) String accountPic,
@ApiParam(value = "是否确认登录 传参: 0否 1是", required = true) @RequestParam("confirm") String confirm,
@ApiParam(value = "二维码值", required = true) @RequestParam("ticket") String ticket) {
try {
if (ticket.contains("=")) {
ticket = ticket.substring(ticket.indexOf("=") + 1, ticket.length());
}
if (ticket == null || !ticket.startsWith("sso")) {
return error("fail", "无效的二维码");
}
String value = redisTemplate.boundValueOps(QRCODE_REDIS_KEY_PREFIX + ticket).get();
if (value == null || "".equals(value)) {//无效的二维码
return error("fail", "二维码过期");
} else {
if(!value.equals("unknown")){
Map map = objectMapper.readValue(value, Map.class);
String name = (String)map.get("accountName");
if(name!=null&&!name.equals(accountName)){
return error("fail","二维码已经被他人使用");
}
}
Map<String, Object> map = new HashMap<>();
map.put("accountName", accountName);
if (accountPic != null) {
map.put("accountPic", accountPic);
}
if (entCode != null) {
map.put("entCode", entCode);
}
map.put("confirm", confirm != null && confirm.equals("1"));
redisTemplate.boundValueOps(QRCODE_REDIS_KEY_PREFIX + ticket).set(objectMapper.writeValueAsString(map), TIMEOUT, TimeUnit.MINUTES);
return success(); //扫码后
}
} catch (Exception e) {
log.error(e.getMessage(), e);
return error("10006", e.getMessage());
}
}
6. 用户在app端确认登录后,前端网页轮询到该结果,自动提交登录请求
- 登录提交后,后台判断如果是如果二维码登录,从session域中获取ticket值,并从根据ticket获取redis缓存中的用户信息。
- 得到用户信息后,就可以执行正常的登录校验流程。
7. 彩蛋:就是当生成的二维码是一个包含ticket值的url的时候。
- app扫描该二维码,需要解析出ticket再执行扫描结果逻辑
- 如果是其他app扫描该二维码,会访问该url地址,这个时候你就可以做一道重定向到其他你想让用户看到的地址。
@RequestMapping("/qrcode/redirect")
public String redirect(HttpServletRequest request, HttpServletResponse response) throws IOException {
//判断user Agent 做相应的跳转
response.sendRedirect("http://www.boot.ren");
return null;
}
那么这个二维码就会即起到了扫码登陆的作用,也起到了扫描下载app,或者进入宣传网站的作用。可谓一举多得。
