探究二维码扫码登录原理，竟然这么简单！

最新推荐文章于 2025-04-12 23:34:46 发布

编程里的秋刀鱼

最新推荐文章于 2025-04-12 23:34:46 发布

阅读量1.3k

点赞数 25

文章标签： java 前端微信

本文链接：https://blog.csdn.net/weixin_45836587/article/details/142460722

版权

文章目录

概要

提示：这个问题在面试中还是比较常见的，如阿里、腾讯、用友、京东、小红书等中大厂的面试都问过这个问题。当然，其他公司也会有。

在大家日常生活中，二维码出现在很多场景，购物扫个码，吃饭扫个码，坐公交也扫个码。可以说是离不开我们的生活。比如超市支付、系统登录等等。

在这里插入图片描述

了解扫描二维码的原理，为技术人员提供开发思路。

问题背景（重复下单）

提示：在扫码的过程中，大家可能会有疑问：这二维码安全吗？会不会泄漏我的个人信息？

这时候就需要了解一下二维码背后的技术和逻辑了！

二维码最常用的场景之一，就是通过手机端应用扫描 PC 或者 WEB 端的二维码，来登录同一个系统。比如手机微信扫码来登录 PC 端微信，手机淘宝扫码登录 PC 端淘宝等等。

那么就让我们来看一下，二维码登录是怎么操作的！

二维码登录的原理

提示：二维码登录本质上也是一种登录认证方式。既然是登录认证，要做的也就两件事情！

基本本质如下：

告诉系统我是谁
向系统证明我是谁

比如账号、密码登录。账号就是告诉系统我是谁。密码就是向系统证明我是谁。

比如手机验证码登录，手机号就是告诉系统我是谁，验证码就是向系统证明我是谁;

那么扫码登录是怎么做到这两件事情的呢？

比如微信手机端扫码PC端微信二维码，手机端确认后，账号就在 PC 端登录成功了！

这里，PC 端登录的账号肯定与手机端是同一个账号。不可能手机端登录的是账号 A，而扫码登录以后，PC 端登录的是账号 B。

所以，第一件事情，告诉系统我是谁！

通过扫描二维码，把手机端的账号信息传递到 PC 端。

第二件事情，向系统证明我是谁？

扫码登录过程中，用户并没有去输入密码，也没有输入验证码，或者其他什么码。那是怎么证明的呢？

有些同学会想到，是不是扫码过程中，把密码传到了 PC 端呢？

但这是不可能的。因为那样太不安全的，客户端也根本不会去存储密码。

我们仔细想一下，其实手机端 APP 它是已经登录过的，就是说手机端是已经通过登录认证。所说只要扫码确认是这个手机且是这个账号操作的，其实就能间接证明我谁。

系统认证机制

提示：前面我们说过，为了安全，手机端它是不会存储你的登录密码的。但是在日常使用过程中，我们应该会注意到，只有在你的应用下载下来后，第一次登录的时候，才需要进行一个账号密码的登录，那之后呢即使这个应用进程被杀掉，或者手机重启，都是不需要再次输入账号密码的，它可以自动登录。其实这背后就是一套基于 token 的认证机制，我们来看一下这套机制是怎么运行的，
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/d39e8cb367ec480d97be859a4f30b245.png

账号密码登录时，客户端会将设备信息一起传递给服务端，
如果账号密码校验通过，服务端会把账号与设备进行一个绑定，存在一个数据结构中，这个数据结构中包含了账号 ID，设备 ID，设备类型等等

const token = {
  acountid:'账号ID',
  deviceid:'登录的设备ID',
  deviceType:'设备类型，如 iso,android,pc......',
}

然后服务端会生成一个 token，用它来映射数据结构，这个 token 其实就是一串有着特殊意义的字符串，它的意义就在于，通过它可以找到对应的账号与设备信息。

客户端得到这个 token 后，需要进行一个本地保存，每次访问系统 API 都携带上 token 与设备信息。
服务端就可以通过 token 找到与它绑定的账号与设备信息，然后把绑定的设备信息与客户端每次传来的设备信息进行比较，如果相同，那么校验通过，返回 AP 接口响应数据，如果不同，那就是校验不通过拒绝访问。

从前面这个流程，我们可以看到，客户端不会也没必要保存你的密码，相反，它是保存了 token。可能有些同学会想，这个 token 这么重要，万一被别人知道了怎么办。实际上，知道了也没有影响，因为设备信息是唯一的，只要你的设备信息别人不知道，别人拿其他设备来访问，验证也是不通过的。

可以说，客户端登录的目的，就是获得属于自己的 token。

那么在扫码登录过程中，PC 端是怎么获得属于自己的 token 呢？