TikTok二面:“聊聊二维码扫码登录的原理”

最新推荐文章于 2024-01-02 20:36:34 发布
最新推荐文章于 2024-01-02 20:36:34 发布
阅读量178 收藏 1
点赞数
文章标签: java jwt android 编程语言 http
原文链接:http://www.iocoder.cn/zhishixingqiu/?vip\x26amp;amp;mp
版权

点击上方“芋道源码”,选择“设为星标

管她前浪,还是后浪?

能浪的浪,才是好浪!

每天 8:55 更新文章,每天掉亿点点头发...

源码精品专栏

 

来源:juejin.cn/post/6940976355097985032

今儿回老家,开心。

 吃

吃吃吃

  吃

艿艿

前几天看了极客时间一个二维码的视频,写的不错,这里总结下

在日常生活中,二维码出现在很多场景,比如超市支付、系统登录、应用下载等等。了解二维码的原理,可以为技术人员在技术选型时提供新的思路。对于非技术人员呢,除了解惑,还可以引导他更好地辨别生活中遇到的各种二维码,防止上当受骗。

二维码,大家再熟悉不过了

购物扫个码,吃饭扫个码,坐公交也扫个码

Reaf23573de7bac41f202d2fb0e0b9934.jpeg
110_ba82eb278547ec279eaf835fb0f63b3f.png

在扫码的过程中,大家可能会有疑问:这二维码安全吗?会不会泄漏我的个人信息?更深度的用户还会考虑:我的系统是不是也可以搞一个二维码来推广呢?

这时候就需要了解一下二维码背后的技术和逻辑了!

二维码最常用的场景之一就是通过手机端应用扫描PC或者WEB端的二维码,来登录同一个系统。比如手机微信扫码登录PC端微信,手机淘宝扫码登录PC端淘宝。那么就让我们来看一下,二维码登录是怎么操作的!

二维码登录的本质

二维码登录本质上也是一种登录认证方式。既然是登录认证,要做的也就两件事情!

  1. 告诉系统我是谁

  2. 向系统证明我是谁

比如账号密码登录,账号就是告诉系统我是谁, 密码就是向系统证明我是谁; 比如手机验证码登录,手机号就是告诉系统我是谁,验证码就是向系统证明我是谁;

那么扫码登录是怎么做到这两件事情的呢?我们一起来考虑一下

手机端应用扫PC端二维码,手机端确认后,账号就在PC端登录成功了!这里,PC端登录的账号肯定与手机端是同一个账号。不可能手机端登录的是账号A,而扫码登录以后,PC端登录的是账号B。

所以,第一件事情,告诉系统我是谁,是比较清楚的!

通过扫描二维码,把手机端的账号信息传递到PC端,至于是怎么传的,我们后面再说

第二件事情,向系统证明我是谁。扫码登录过程中,用户并没有去输入密码,也没有输入验证码,或者其他什么码。那是怎么证明的呢?

有些同学会想到,是不是扫码过程中,把密码传到了PC端呢?但这是不可能的。因为那样太不安全的,客户端也根本不会去存储密码。我们仔细想一下,其实手机端APP它是已经登录过的,就是说手机端是已经通过登录认证。所说只要扫码确认是这个手机且是这个账号操作的,其实就能间接证明我谁。

认识二维码

那么如何做确认呢?我们后面会详细说明,在这之前我们需要先认识一下二维码!在认识二维码之前我们先看一下一维码!

201211061549088595.png

所谓一维码,也就是条形码,超市里的条形码--这个相信大家都非常熟悉,条形码实际上就是一串数字,它上面存储了商品的序列号。

二维码其实与条形码类似,只不过它存储的不一定是数字,还可以是任何的字符串,你可以认为,它就是字符串的另外一种表现形式,

在搜索引擎中搜索二维码,你可以找到很多在线生成二维码的工具网站,这些网站可以提供字符串与二维码之间相互转换的功能,比如 草料二维码网站

20210318103206.jpg

在左边的输入框就可以输入你的内容,它可以是文本、网址,文件........。然后就可以生成代表它们的二维码

你也可以把二维码上传,进行”解码“,然后就可以解析出二维码代表的含义

系统认证机制

认识了二维码,我们了解一下移动互联网下的系统认证机制。

前面我们说过,为了安全,手机端它是不会存储你的登录密码的。但是在日常使用过程中,我们应该会注意到,只有在你的应用下载下来后,第一次登录的时候,才需要进行一个账号密码的登录, 那之后呢 即使这个应用进程被杀掉,或者手机重启,都是不需要再次输入账号密码的,它可以自动登录。

其实这背后就是一套基于token的认证机制,我们来看一下这套机制是怎么运行的,

阿萨德阿萨德.jpg

  1. 账号密码登录时,客户端会将设备信息一起传递给服务端,

  2. 如果账号密码校验通过,服务端会把账号与设备进行一个绑定,存在一个数据结构中,这个数据结构中包含了账号ID,设备ID,设备类型等等

const token = {
  acountid:'账号ID',
  deviceid:'登录的设备ID',
  deviceType:'设备类型,如 iso,android,pc......',
}

然后服务端会生成一个token,用它来映射数据结构,这个token其实就是一串有着特殊意义的字符串,它的意义就在于,通过它可以找到对应的账号与设备信息,

  1. 客户端得到这个token后,需要进行一个本地保存,每次访问系统API都携带上token与设备信息。

  2. 服务端就可以通过token找到与它绑定的账号与设备信息,然后把绑定的设备信息与客户端每次传来的设备信息进行比较, 如果相同,那么校验通过,返回AP接口响应数据, 如果不同,那就是校验不通过拒绝访问

从前面这个流程,我们可以看到,客户端不会也没必要保存你的密码,相反,它是保存了token。可能有些同学会想,这个token这么重要,万一被别人知道了怎么办。实际上,知道了也没有影响, 因为设备信息是唯一的,只要你的设备信息别人不知道, 别人拿其他设备来访问,验证也是不通过的。

可以说,客户端登录的目的,就是获得属于自己的token。

那么在扫码登录过程中,PC端是怎么获得属于自己的token呢?不可能手机端直接把自己的token给PC端用!token只能属于某个客户端私有,其他人或者是其他客户端是用不了的。在分析这个问题之前,我们有必要先梳理一下,扫描二维码登录的一般步骤是什么样的。这可以帮助我们梳理清楚整个过程,

扫描二维码登录的一般步骤

大概流程

啊啊啊.jpg

  1. 扫码前,手机端应用是已登录状态,PC端显示一个二维码,等待扫描

  2. 手机端打开应用,扫描PC端的二维码,扫描后,会提示"已扫描,请在手机端点击确认"

  3. 用户在手机端点击确认,确认后PC端登录就成功了

可以看到,二维码在中间有三个状态, 待扫描,已扫描待确认,已确认。那么可以想象

666.jpg

  1. 二维码的背后它一定存在一个唯一性的ID,当二维码生成时,这个ID也一起生成,并且绑定了PC端的设备信息

  2. 手机去扫描这个二维码

  3. 二维码切换为 已扫描待确认状态, 此时就会将账号信息与这个ID绑定

  4. 当手机端确认登录时,它就会生成PC端用于登录的token,并返回给PC端

好了,到这里,基本思路就已经清晰了,接下来我们把整个过程再具体化一下

二维码准备

按二维码不同状态来看, 首先是等待扫描状态,用户打开PC端,切换到二维码登录界面时。

1111.jpg

  1. PC端向服务端发起请求,告诉服务端,我要生成用户登录的二维码,并且把PC端设备信息也传递给服务端

  2. 服务端收到请求后,它生成二维码ID,并将二维码ID与PC端设备信息进行绑定

  3. 然后把二维码ID返回给PC端

  4. PC端收到二维码ID后,生成二维码(二维码中肯定包含了ID)

  5. 为了及时知道二维码的状态,客户端在展现二维码后,PC端不断的轮询服务端,比如每隔一秒就轮询一次,请求服务端告诉当前二维码的状态及相关信息

二维码已经准好了,接下来就是扫描状态

扫描状态切换

7777.jpg

  1. 用户用手机去扫描PC端的二维码,通过二维码内容取到其中的二维码ID

  2. 再调用服务端API将移动端的身份信息与二维码ID一起发送给服务端

  3. 服务端接收到后,它可以将身份信息与二维码ID进行绑定,生成临时token。然后返回给手机端

  4. 因为PC端一直在轮询二维码状态,所以这时候二维码状态发生了改变,它就可以在界面上把二维码状态更新为已扫描

那么为什么需要返回给手机端一个临时token呢?临时token与token一样,它也是一种身份凭证,不同的地方在于它只能用一次,用过就失效。

在第三步骤中返回临时token,为的就是手机端在下一步操作时,可以用它作为凭证。以此确保扫码,登录两步操作是同一部手机端发出的,

状态确认

最后就是状态的确认了。

3333333332.jpg

  1. 手机端在接收到临时token后会弹出确认登录界面,用户点击确认时,手机端携带临时token用来调用服务端的接口,告诉服务端,我已经确认

  2. 服务端收到确认后,根据二维码ID绑定的设备信息与账号信息,生成用户PC端登录的token

  3. 这时候PC端的轮询接口,它就可以得知二维码的状态已经变成了"已确认"。并且从服务端可以获取到用户登录的token

  4. 到这里,登录就成功了,后端PC端就可以用token去访问服务端的资源了

扫码动作的基础流程都讲完了,有些细节还没有深入介绍,

比如二维码的内容是什么?

  • 可以是二维码ID

  • 可以是包含二维码ID的一个url地址

在扫码确认这一步,用户取消了怎么处理?这些细节都留给大家思考

总结

6767676.jpg

我们从登陆的本质出发,探索二维码扫码登录是如何做到的

  1. 告诉系统我是谁

  2. 向系统证明我谁

在这个过程中,我们先简单讲了两个前提知识,

  • 一个是二维码原理,

  • 一个是基于token的认证机制。

然后我们以二维码状态为轴,分析了这背后的逻辑: 通过token认证机制与二维码状态变化来实现扫码登录.

需要指出的是,前面的讲的登录流程,它适用于同一个系统的PC端,WEB端,移动端。

平时我们还有另外一种场景也比较常见,那就是通过第三方应用来扫码登录,比如极客时间/掘金  都可以选择微信/QQ等扫码登录,那么这种通过第三方应用扫码登录又是什么原理呢?

感兴趣的同学可以思考研究一下,欢迎在评论区留下你的见解。

欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

已在知识星球更新源码解析如下:

最近更新《芋道 SpringBoot 2.X 入门》系列,已经 20 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。

提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。

获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。

文章有帮助的话,在看,转发吧。
谢谢支持哟 (*^__^*)
公众号-芋道源码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
二维码登录的实现原理
perturb的博客
06-22 1858
1.整个二维码登录的过程需要三个角色,手机端,电脑端,服务器端,每台手机和电脑都有属于自己独一无二的身份信息,这里为了方便区分我给手机端设置的身份信息是字母,给电脑端设置的是数字2.用户先通过手机A进行账号注册,注册成功后,服务器端就会记录该手机的身份信息和账号信息(账号,密码,姓名等)3.当电脑A打开扫码登录的窗口时,电脑A向服务器发送一个请求二维码的请求和自己的身份信息,服务器对这台电脑的身份信息进行存储,并返回一个由此台电脑身份信息和登录后跳转的下一个网页(通常是确认登录)组合成的二维码信息4.当电脑
tiktok-clone:使用React Native克隆TikTok应用程序布局
02-05
TikTok克隆 TikTok应用程序布局的克隆。 | 开发中画面 技术领域 该项目是使用以下技术开发的: 带和 如何使用 要克隆和运行此应用程序,您需要在计算机上安装 , 或更高版本+ 或更高版本+ 。 从您的命令行: # Clone this repository $ git clone https://github.com/matheuscastroweb/tiktok-clone tiktok-clone # Go into the repository $ cd tiktok-clone # Install dependencies $ yarn install # Run
tiktok-scraper:TikTok铲运机:registered:
05-09
TikTok Scraper:trade_mark: 以下项目从tiktok网站实现了domcrawler和并发数据检索。 兑现承诺后,便会分析与用户和视频有关的信息,并将其存储到数据库中以备后用。 为了减轻抓取过程,所有与数据库相关的操作都作为作业在后台运行。 安装: git clone https://github.com/moseseth/tiktok-scraper.git cd tiktok-scraper cp .env.example .env // update DB_USERNAME , DB_PASSWORD & CREATE 'tiktok' database composer install php artisan migrate php artisan serve php artisan queue:work --tries=3 运行测试: composer run-scrip
tiktok-api:TikTok的非官方API包装器(以前是music.ly)
05-02
非官方的TikTok / Musical.ly API (先前为music.ly)应用程序API的反向工程实现。 安装 npm i tiktok-api 用法 创建一个实例 import TikTokAPI , { getRequestParams } from 'tiktok-api' ; // Required - a method that signs the URL with anti-spam parameters // You must provide an implementation yourself to successfully make // most requests with this library. const signURL = async ( url , ts , deviceId ) => { const as = 'anti-spam para
tiktok-live:下载实时tiktok
05-27
tiktok-live 安装 首先,您需要安装下载并安装LTS或Current。 然后启动您的终端(在Windows上为cmd.exe),并使用NPM安装tiktok-live: npm install -g tiktok-live tiktok-live命令将在您的控制台中可用(cmd.exe或powershell.exe或bash) 要更新tiktok-live,只需键入: npm update -g 变更记录 20200625 / 1.0.0 first release 概括 通过共享链接下载实时流。 如何 tiktok-live选项链接 选项 --dl 更改默认下载文件夹(默认为当前路径) -v-详细 提高详细程度(所有命令) -v基本消息(蓝色)-vv调试消息(绿色)网络-vvv转储json请求 --fmt videoformat(无法使用WIP) 设置视频
github短视频去除水印项目Douyin_TikTok_Download_API介绍
最新发布
修己xj的博客
01-02 2005
github地址:目前该项目在github 已有5.1k star,如下是作者写的项目介绍:「Douyin_TikTok_Download_API」是一个开箱即用的高性能异步抖音|TikTok|Bilibili数据爬取工具,支持API调用,在线批量解析及下载。该项目是基于 PyWebIO,FastAPI,AIOHTTP,快速异步的抖音/TikTok/Bilibili数据爬取工具,并通过Web端实现在线批量解析以及下载无水印视频或图集,数据爬取API,iOS快捷指令无水印下载等功能。
扫码登录原理
乌龟的专栏
02-22 608
扫码登录原理
扫码登录,背后是如何实现的?
愿万事胜意
04-16 1万+
近年来,随着智能手机和移动支付的普及以及互联网应用的不断更新迭代,扫码登录已经成为了我们日常生活中非常普遍的登录方式。扫码登录能够迅速的成为我们各大网站常用的登录方式一定存在它的原因。但是你知道扫码登录背后的原理么,本文参考了一些优秀的文章,带你一起来了解一下扫码登录是如何实现的。
二维码扫描登录原理
meser88的博客
06-12 1873
二维码又称二维条码,常见的二维码为QR Code,QR全称Quick Response,是一个近几年来移动设备上超流行的一种编码方式,它比传统的Bar Code条形码能存更多的信息,也能表示更多的数据类型。----来自百度百科在商品上,一般都会有条形码,条形码也称为一维码,条形码只能表示一串数字。二维码要比条形码丰富很多,可以存储数字、字符串、图片、文件等,比如我们可以把存储在二维码中,扫码二维码我们就可以获取到百度的地址。可能用文字说起来还是比较难理解,您可以百度:草料二维码,一款二维码生成。
扫码登录原理+代码解析+完整dome
墨羽晨的博客
01-09 3993
1、引言 扫码登录这个功能,最早应该是微信的PC端开始搞,不得不说还是很神奇的。 本文将简要的介绍扫码登录功能的技术实现逻辑 一、基本技术原理 a. 扫码登录功能到底是什么样的? 首先介绍下什么是扫码登录。现在大部分同学手机上都装有微信、qq和淘宝这一类的软件。而这些app都有他们相对应的网页端。为了让用户在使用他们的网页时登录更加方便和安全,使用手机扫一扫就可以登录的服务,就显得自然而然了 几个主流大厂应用扫码登录时的界面效果如下: 有很多小伙伴可能会感到很神奇,网页上只是显示了
tiktok-api:完全托管的 TikTok API
07-24
非官方 TikTok API 具有 OAuth 功能的完全托管的无忧 TikTok API 解决方案。 您可以立即开始使用,您只需要一个 API 密钥。 在获取一份注意:严禁垃圾邮件/滥用/追随者销售服务。安装npm i tikapi 用法 const api = ...
通过Charles抓取抖音无水印视频
Abner_Crazy的博客
08-16 1万+
之前直接将抖音的复制链接复制到PC端浏览器中打开就能获取到无水印视频,但是这个方法最近被抖音禁了,看到的视频带水印了。废话不多说,今天就来介绍如何通过charles来抓取抖音APP请求获取无水印视频。 工欲善其事必先利其器: charles 如何使用请参考我之前的一篇文章:https://blog.csdn.net/Abner_Crazy/article/details/98871441 第...
扫码登录原理简述
m0_57410337的博客
08-09 2985
扫码登录原理
tiktok协议,粉丝列表,关注
weixin_47098094的博客
03-16 5638
粉丝列表 https://api-h2.tiktokv.com/aweme/v1/user/following/list/?user_id=6913565342056989698“ 返回结果 { “rec_has_more”: true, “log_pb”: { “impr_id”: “2021031613453801023409314634173618” }, “status_code”: 0, “followings”: [{, “with_shop_entry”: false, “show_image
搞清楚二维码扫码登录原理
zz_jesse的博客
03-30 1723
本文授权转载自:大古同学,https://juejin.cn/post/6940976355097985032在日常生活中,二维码出现在很多场景,比如超市支付、系统登录、应用下载等等。了解...
细说二维码扫码登录原理
热门推荐
houxian1103的博客
04-05 2万+
在日常生活中,二维码出现在很多场景,比如超市支付、系统登录、应用下载等等。了解二维码原理,可以为技术人员在技术选型时提供新的思路。对于非技术人员呢,除了解惑,还可以引导他更好地辨别生活中遇到的各种二维码,防止上当受骗。 二维码,大家再熟悉不过了 购物扫个码,吃饭扫个码,坐公交也扫个码 在扫码的过程中,大家可能会有疑问:这二维码安全吗?会不会泄漏我的个人信息?更深度的用户还会考虑:我的系统是不是也可以搞一个二维码来推广呢? 这时候就需要了解一下二维码背后的技术和逻辑了! 二维码最常用的场景之一就是通过手机
扫码登录流程及原理
雅俗共赏的博客
03-29 1952
二维码登录
一图搞懂扫码登录的技术原理
Moonxiyue的博客
06-15 2428
现在扫码登录是一种很常见的登录方式。当用户需要登录某个网站时,网站会提供一种扫码登录的方式,用户打开相应的手机App,扫描网站上显示的二维码,然后在App中确认登录,网站监测到用户确认登录后,跳转到登录成功页面。从这个形式上看,扫码登录就是将用户在手机App中的登录状态同步到网站中,这篇文章就来一窥这个同步是如何发生的。假设有一款产品,这个产品通过手机端App和PC端应用为用户提供服务,为了方便用户在PC端上登录,产品提供了一个扫码登录的功能,即PC端应用上展示一个登录二维码,用户使用手机端App扫码并确认
playwright登录tiktok
09-10
对于Playwright登录TikTok,可以使用TikTok API接口进行操作。你可以通过发送HTTP请求来搜索用户并获取相关信息。具体来说,你可以使用TikTok API的`search_for/user`接口来搜索关键词为"playwright"的用户。你需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值