二维码登录原理 CSC

世纪双12 VS天猫双xx，搞二维码扫描投注彩票，玩死你，虽然说还没把二维码应用到极致，估计也不远了

下面但从技术角度考虑下原理实现：

web客户端 --> 服务端 <-- 手持移动设备 三方验证

主要工作：

微信登陆 手机扫描 确认验证 客户端轮询接受响应再验证登陆

##通过手机扫描信息（二维码信息）+手机相关信息+彩票信息的绑定

一言蔽之：

相当于一个隐玛，透过这个叫做（key 或者uuid）的获取的信息链和连锁响应

 关键技术我觉得有四点：

第一： 网页进入 web客户端做了啥？服务端做了啥？

第二：打开第三方客户端（手机或其他可移动设备）扫描过程中到扫描完成  当前客户端做了啥？
服务端做了啥？

第三：扫描完成（听到滴答一声）后 当前客户端和web客户端和服务器又做了啥？

最后：点击手持移动设备确认按钮，web客户端怎么就确认一定是本人登陆而且自动加载本人的相关信息呢？

下面分别介绍下我的看法：

1.进入二维码扫描页面，发送给服务器一个请求，返回给你一个唯一的二维码信息和未经授权的认证或者叫一个UUID的标志，然后通过轮询的方式不断把这个标志向服务器请求授权返回

，

请求超时状态-408，不停的间隔请求

2.拿出你的手持设备到扫描完成 (滴答之前)

实际上我认为这是关键的一步和容易忽略的一步，因为此时客户端获取手机应用信息和二维码信息提交服务器完成UUID的授权认证 不一定成功

3.当你听到（滴答一声）证明成功扫描相关信息并通过后台处理验证通过，返回http-201状态创建标示，完成状态

4.我认为是相对安全最重要的一步，防止多人同时登陆

例如：同样的二维码信息，假设有1000个不同的移动设备扫描并要求登陆怎么办，这时就需要唯一确认，因为在web客户端同时只能只有一个人是登陆状态而不是1000个人都登陆，而且更重要的一定，这个登陆确认信息是有个时间限制的大概为5分钟的确认时间，如果不进行确认，这个二维码信息会自动失效，要求重新扫描，所以说那帮人真的很牛逼，细节考虑的很周密，真的很棒!

其实在（滴答一声后）服务器是对设备唯一编号和uuid做了绑定授权的，此时web客户端的轮询请求授权正中下怀啊，呵呵，

然后进一步通过设备编号和其他相关信息如上 类似session_id 或者标示去获取当前确认授权用户的信息并展现web客户端上手持移动设备的登陆人信息，呵呵，有点绕多读两遍。

请各位老鸟多多扔蛋，谢谢！