二维码扫码登录是什么原理？ （转载）

原文链接：二维码扫码登录是什么原理

互联网的认证机制

为了安全，手机端它是不会存储你的登录密码的。 但是在日常使用过程中，我们应该会注意到，只有在你的应用下载下来后，第一次登录的时候，才需要进行一个账号密码的登录， 那之后呢 即使这个应用进程被杀掉，或者手机重启，都是不需要再次输入账号密码的，它可以自动登录。

其实这背后就是一套基于token的认证机制，我们来看一下这套机制是怎么运行的，

1. 账号密码登录时，客户端会将设备信息一起传递给服务端，
2. 如果账号密码校验通过，服务端会把账号与设备进行一个绑定，存在一个数据结构中，这个数据结构中包含了账号ID，设备ID，设备类型等等

const token = {
  acountid:'账号ID',
  deviceid:'登录的设备ID',
  deviceType:'设备类型，如 iso,android,pc......',
}

然后服务端会生成一个token，用它来映射数据结构，这个token其实就是一串有着特殊意义的字符串，它的意义就在于，通过它可以找到对应的账号与设备信息，

1. 客户端得到这个token后，需要进行一个本地保存，每次访问系统API都携带上token与设备信息。
2. 服务端就可以通过token找到与它绑定的账号与设备信息，然后把绑定的设备信息与客户端每次传来的设备信息进行比较， 如果相同，那么校验通过，返回AP接口响应数据， 如果不同，那就是校验不通过拒绝访问

从前面这个流程，我们可以看到，客户端不会也没必要保存你的密码，相反，它是保存了token。可能有些同学会想，这个token这么重要，万一被别人知道了怎么办。实际上，知道了也没有影响， 因为设备信息是唯一的，只要你的设备信息别人不知道， 别人拿其他设备来访问，验证也是不通过的。
可以说，客户端登录的目的，就是获得属于自己的token。
那么在扫码登录过程中，PC端是怎么获得属于自己的token呢？不可能手机端直接把自己的token给PC端用！token只能属于某个客户端私有，其他人或者是其他客户端是用不了的。在分析这个问题之前，我们有必要先梳理一下，扫描二维码登录的一般步骤是什么样的。这可以帮助我们梳理清楚整个过程，

扫描二维码登录的一般步骤

准备二维码

1. 客户端（网页）告诉服务器，要生成用户登录的二维码，并且把PC端的信息传递过去，这样就能保证客户端与二维码能对应上。
2. 服务端收到该请求，给它生成二维码ID，并且把二维码ID与PC信息绑定。给它返回
3. PC端收到二维码信息后，展示二维码，并且不断的轮询服务器，请求服务端告知当前二维码的状态及相关信息

手机扫码

1. 手机扫描二维码，获取二维码中的ID信息
2. 手机将二维码ID和自身的身份信息发送给服务器
3. 服务端收到后，将身份信息与二维码ID进行绑定，生成临时token，返回给手机端
4. 因为PC端一直处于轮询状态，此时二维码状态发送了改变，可以显示为扫描成功

状态确认

1. 手机端收到临时token后弹出确认登录界面，用户点击确认时，手机携带临时token，告诉服务端已确认。
2. 服务端收到信息后，根据二维码绑定的设备信息与账号信息，生成用于PC端登录的token
3. 这时候PC轮询接口，返回的二维码状态信息就是“已确认”，并且从服务端获得用户登录的token
4. 到这里，登录就成功了。