C++培训

热门课程:

微信扫码登录究竟是怎么个原理？

发布：C++培训
来源：C++资讯
时间：2020-12-11 15:55
分享到：

网页端或PC客户端的扫码登录大家肯定会经常用到。那这里面究竟有怎样的原理呢？今天小编就带大家了解一下。为便于理解，先使用大白话非官方给大家解释。

当你用电脑打开微信的时候，微信给你随机分配了一个链接，【相当于给你开了间房，房号1024，注意，只给你房号，没给你钥匙】，用二维码包装着，并且设置了有效时间【10分钟你不进房间，就给你取消】。这里面没有用户什么事情，所以不存在UID(user ID)，只是一个随机的字母和数字组合。

二维码的转码规则是统一的，所以意味着，只要是个二维码扫描软件，谁都能拿到这个链接，微信可以扫出来。

所以拿到链接没有用，重要的是谁拿到链接，微信拿到了，就可以从微信客户端发一条信息给服务器，告诉服务器，现在是谁使用了某个链接，其他二维码扫描软件，不能和微信服务器通话，所以毫无价值。【你拿到了房号，就给酒店老板打个电话，说是我，老板就知道张三又来开房了，其他人没有老板电话，知道房号也没用】

这时候，在你刚打开的微信窗口界面，就知道并显示了你的信息，理论上可以直接打开聊天窗口，但是为了不突兀不尴尬，微信选择再让你在手机上做一个确认操作，目的是更加安全。

下面使用技术解答一下，让大家更清楚：

每打开一次微信网页版页面的时候会随机生成一个含有唯一uid的二维码，每次刷新页面都会不一样。

这个可以保证一个uid只可以绑定一个账号和密码，如果一个uid可以绑定多个账号和密码，那么很可能你的电脑会登陆别人的微信，它确实返回了唯一 id，但目的是为了识别用户身份，而且实际上打开这个页面的时候微信PC端已经和 Server 创建了一个长连接等待确认信息。

当用户使用登陆后的微信扫描该二维码的时候，会将这个id和手机上的微信账号及密码绑定，并上传到微信网页版服务器;

二维码样例：就是大家再打开微信的时候，会自动获取相关信息并提示确认。在手机版微信访问这个页面进行确认时，Server已经同时获得了客户端信息，并通过之前保持的长连接告知你登录的页面。

微信PC端页面每隔1秒或2秒会get请求该id对应的微信账号及密码，如果id绑定上了微信账号和密码，那么就可以请求到账号和密码，就可以自动登陆了。

(1)微信PC端展示完长连接里包含的用户信息(头像等)后，会新开一个长连接等待客户端的确认操作。从安全的角度来说，无论如何都不会让客户端获得微信帐号和密码的。要知道，密码这玩意腾讯自己都不敢保存(有兴趣的同学可以自行了解下 CSDN 明文密码泄露事件)，肯定是不可能返回给微信PC端的。

(2)从体感来看，怎么着都不可能是页面1-2秒轮询发起GET请求的，实际是通过堵塞等待的长连接，近乎实时的获得信息。对于验证过程，Open API 一般是通过授权令牌(Token)来解决的，原理是当用户通过授权后，分配一个限定条件下的令牌(如限制本机访问、限制授权有效时间、限制同时登录设备数等)，使获得授权的用户仅在有限的前提下能访问相关服务。像计算机休眠后曾做的授权就自动收回了，这样就有效的避免了在别人电脑上(尤其是网吧)打开，但忘记关闭或退出这类安全问题了。

(3)整个授权过程的验证部分在手机端进行，有效杜绝了PC上泛滥的各类木马、『安全工具』的监听，大大降低了帐号被盗的风险。

(4)核心过程应该是：微信PC端获得一个临时 id，通过长连接等待客户端扫描带有此 id 的二维码后，从长连接中获得客户端上报给 server 的帐号信息进行展示。并在客户端点击确认后，获得服务器授信的令牌，进行随后的信息交互过程。在超时、网络断开、其他设备上登录后，此前获得的令牌或丢失、或失效，对授权过程形成有效的安全防护。

当你还在担心能否就业时，达内学员提前被企业录取;当你转辗于各大招聘会时，达内学员收到了高薪offer;当你在各大招聘网站投递简历时，达内学员中有人一毕业进入五百强名企。所以选择很重要。找C++培训班，选达内就对了。