|
現(xiàn)在幾乎大部分的 App 都支持使用多個(gè)第三方賬號(hào)進(jìn)行登錄,如:微信��、QQ���、微博等���,我們把此稱為多賬號(hào)統(tǒng)一登陸。而這些賬號(hào)的表設(shè)計(jì)����,流程設(shè)計(jì)至關(guān)重要,不然后續(xù)擴(kuò)展性賊差��。 本文不提供任何代碼實(shí)操,但是梳理一下博主根據(jù)我司賬號(hào)模塊的設(shè)計(jì)���,提供思路���,僅供參考。 一��、 自建的登陸體系1.1.1 手機(jī)號(hào)登陸注冊(cè)該設(shè)計(jì)的思路是每個(gè)手機(jī)號(hào)對(duì)應(yīng)一個(gè)用戶��,手機(jī)號(hào)為必填項(xiàng)��。
流程: - 首先輸入手機(jī)號(hào)��,然后發(fā)送到服務(wù)端���。先判斷該手機(jī)號(hào)是否存在賬號(hào)���,如果沒有,就會(huì)生成隨機(jī)驗(yàn)證碼���,將手機(jī)號(hào)和驗(yàn)證碼綁定到
Redis中���,并設(shè)置一定的過期時(shí)間(過期時(shí)間一般是5分鐘����,這就是我們一般手機(jī)驗(yàn)證碼的有效期)����,最后將驗(yàn)證碼通過短信發(fā)送給用戶��。 - 用戶接收到驗(yàn)證碼后���,在界面填寫驗(yàn)證碼以及密碼等基礎(chǔ)信息���,然后將這些數(shù)據(jù)發(fā)送服務(wù)端。服務(wù)端收到后����,先判斷在
Redis里面這個(gè)手機(jī)號(hào)對(duì)應(yīng)的驗(yàn)證碼是否一致,���,失敗就返回錯(cuò)誤碼���,成功就給用戶創(chuàng)建一個(gè)賬號(hào)和保存密碼。 - 注冊(cè)成功后,用戶即可通過自己的
手機(jī)號(hào)+密碼進(jìn)行登陸����。
問題: - 用戶體驗(yàn)差,需要完成獲取驗(yàn)證碼����,填寫驗(yàn)證碼/密碼/用戶名等諸多的信息完成注冊(cè),然后才能使用���;
- 容易遺忘密碼��,遺忘后����,只能通過忘記密碼來重新設(shè)置密碼���。
1.1.2 優(yōu)化注冊(cè)登陸該方案的思路是弱化密碼的必填性����,即無論用戶是否注冊(cè)過����,可通過 手機(jī)號(hào)+驗(yàn)證碼 直接進(jìn)行登陸(保留 手機(jī)號(hào)+密碼登錄的方式)���。
流程: - 輸入手機(jī)號(hào)��,然后發(fā)送到服務(wù)端����。服務(wù)端生成隨機(jī)驗(yàn)證碼,將手機(jī)號(hào)和驗(yàn)證碼綁定到
Redis中���,并設(shè)置一定的過期時(shí)間(過期時(shí)間一般是5分鐘,這就是我們一般手機(jī)驗(yàn)證碼的有效期)���,最后將驗(yàn)證碼通過短信發(fā)送給用戶���。 - 用戶接收到驗(yàn)證碼后,在界面只需填寫收到的驗(yàn)證碼����,提交到服務(wù)端。服務(wù)端收到后����,先判斷在
Redis里面這個(gè)手機(jī)號(hào)對(duì)應(yīng)的驗(yàn)證碼是否一致,失敗就返回錯(cuò)誤碼,成功就直接登錄���。如果是老用戶����,直接拉取用戶信息���;如果是新用戶��,則提示他可以完善用戶信息(不強(qiáng)制)���。 - 用戶通過
手機(jī)號(hào)+驗(yàn)證碼登錄后,也可選擇設(shè)置密碼����,然后就可以通過 手機(jī)號(hào)+密碼的方式登錄,即:密碼是非必填項(xiàng)����。關(guān)注頂級(jí)架構(gòu)師
用戶表設(shè)計(jì): | id | user_name | user_password | user_mobile | state | more |
|---|
| 用戶id | 用戶名 | 用戶密碼 | 手機(jī)號(hào)碼 | 賬號(hào)狀態(tài) | 其他信息 |
1.2 引入第三方賬戶方案1.2.1 微博登錄進(jìn)入 Web2.0 時(shí)代 ,微博開放了第三方網(wǎng)站登錄, 產(chǎn)品說, 這個(gè)我們得要, 加個(gè)用微博賬號(hào)就能登錄我們的 App吧,而且得和我們自己的用戶表關(guān)聯(lián)��。 流程: - 客戶端調(diào)用微博登錄的界面��,進(jìn)行輸入用戶名、密碼��,登錄成功后��,會(huì)返回
access_token,通過 access_token調(diào)取 API接口獲取用戶信息��。 - 服務(wù)端通過用戶信息在我們用戶表創(chuàng)建一個(gè)賬號(hào)��,以后���,該第三方賬號(hào)即可通過該微博賬號(hào)直接進(jìn)行登陸��。
微博用戶信息表設(shè)計(jì): | id | user_id | uid | access_token |
|---|
| 主鍵id | 用戶id | 微博唯一id | 授權(quán)碼 |
1.2.2 噩夢(mèng)來臨緊接著, QQ又開放用戶登錄了, 微信開放用戶登錄了���,網(wǎng)易開發(fā)用戶登錄了���。����。��。���。���。����。一下子要接入好多家第三方登錄了, 只能按照 “微博用戶信息表” 新建一個(gè)表����,重寫一套各個(gè)第三方登錄。 二����、 優(yōu)化賬號(hào)體系2.1 原賬號(hào)體系分析- 自建登陸體系:無論
手機(jī)號(hào)+密碼 , 還是 手機(jī)號(hào)+驗(yàn)證碼 , 都是一種 用戶信息+密碼 的驗(yàn)證形式; - 第三方登錄:也是
用戶信息+密碼 的形式, 用戶信息即第三方系統(tǒng)中的 ID(第三方系統(tǒng)中的唯一標(biāo)識(shí)), 密碼即 access_token, 只不過是一種有使用時(shí)效定期修改的密碼���。
2.2 新的賬號(hào)體系2.2.1 數(shù)據(jù)表設(shè)計(jì)用戶基礎(chǔ)信息表: | id | nickname | avatar | more |
|---|
| 用戶id | 昵稱 | 頭像 | 其他信息 |
用戶授權(quán)信息表: | id | user_id | identity_type | identifier | credential |
|---|
| 主鍵id | 用戶id | 登錄類型(手機(jī)號(hào)/郵箱) 或第三方應(yīng)用名稱 (微信/微博等) | 手機(jī)號(hào)/郵箱/第三方的唯一標(biāo)識(shí) | 密碼憑證 (自建賬號(hào)的保存密碼, 第三方的保存 token) |
說明: - 用戶表分為
用戶基礎(chǔ)信息表 + 用戶授權(quán)信息表��; - 用戶信息表不保存任何密碼, 不保存任何登錄信息(如用戶名, 手機(jī)號(hào), 郵箱), 只留有昵稱���、頭像等基礎(chǔ)信息; 所有和授權(quán)相關(guān),都放在用戶信息授權(quán)表, 用戶信息表和用戶授權(quán)表是一對(duì)多的關(guān)系 。微信搜索公眾號(hào):Java項(xiàng)目精選��,回復(fù):java 領(lǐng)取資料 ���。
2.2.2 登錄流程沿用之前的方案��。 用戶填寫 郵箱/手機(jī)號(hào)+密碼; 請(qǐng)求登錄的時(shí)候, 先判斷類型, 如手機(jī)號(hào)登錄為例: 使用 type='phone' 結(jié)合 identifier='手機(jī)號(hào)' 查找, 如有, 取出并判斷 password_hash(密碼)是否和該條目的 credential 相符, 相符則通過驗(yàn)證, 隨后通過 user_id 獲取用戶信息; 查詢 type='weixin' 結(jié)合 identifier='微信 openId', 如果有記錄, 則直接登錄成功, 并更新 token; 假設(shè)與微信服務(wù)器通信不被劫持的情況下無需判斷憑證問題����。另外,搜索公眾號(hào)Linux就該這樣學(xué)后臺(tái)回復(fù)“電子書”���,獲取一份驚喜禮包����。 2.2.3 優(yōu)缺點(diǎn)優(yōu)點(diǎn): - 登錄類型無限擴(kuò)展, 新增登錄類型的開發(fā)成本顯著降低;
- 原來?xiàng)l件下, 應(yīng)用需要驗(yàn)證手機(jī)號(hào)是否已驗(yàn)證和郵箱是否已驗(yàn)證, 需要相對(duì)應(yīng)多一個(gè)字段如
phone_verified 和 email_verified, 如今只要在 用戶授權(quán)信息表 表中增加一個(gè)統(tǒng)一的 verified字段, 每種登錄方式都可以直觀看到是否已驗(yàn)證情況; - 在
用戶授權(quán)信息表 添加相應(yīng)的時(shí)間和 IP 地址, 就可以更加完整地跟蹤用戶的使用習(xí)慣, 比如:已經(jīng)不使用微博登錄兩年多, 已經(jīng)綁定微信 300天; - 如果你說郵箱和手機(jī)號(hào)就是用戶信息的組成部分, users 表盡管拓展, users 表里依然有email , phone , 但他們僅僅作為“展示用途”,和昵稱,頭像或者性別這些屬性沒有本質(zhì)區(qū)別;
- 可按需綁定任意數(shù)量的同類型登錄方式, 即一個(gè)用戶可以綁定多個(gè)微信, 可以有多個(gè)郵箱, 可以有多個(gè)手機(jī)號(hào)��。當(dāng)然你也可以限制一種登錄方式只有一條記錄;
缺點(diǎn) : 用戶同時(shí)存在郵箱���、用戶名���、手機(jī)號(hào)等多種站內(nèi)登錄方式時(shí), 改密碼時(shí)必須一起改, 否則就變成了 郵箱+新密碼, 手機(jī)號(hào)+舊密碼都可以登錄, 肯定是很詭異的情況; 代碼量增加了, 有些情況下邏輯判斷增加了, 難度增大了; 舉個(gè)例子, 無論用戶是否已登錄, 無論用戶是否已注冊(cè)過, 都是點(diǎn)擊同一鏈接前往微博第三方授權(quán)后返回, 可能出現(xiàn)幾種情況: - 該微博在本站未注冊(cè)過, 很好, 直接給他注冊(cè)關(guān)聯(lián)并登錄��;
該微博已經(jīng)在本站存在, 當(dāng)前用戶未登錄, 直接登錄成功���; 該微博未在本站注冊(cè), 但當(dāng)前用戶已經(jīng)登錄并關(guān)聯(lián)的是另一個(gè)微博賬號(hào), 作何處理取決于是否允許綁定多個(gè)微博賬號(hào)����; 該微博未在本站注冊(cè)過, 當(dāng)前用戶已登錄, 嘗試進(jìn)行綁定操作; 該微博已經(jīng)注冊(cè), 用戶又已使用該賬號(hào)登錄, 為何他重復(fù)綁定自己; 該微博已經(jīng)在本站存在, 但當(dāng)前用戶已經(jīng)登錄并關(guān)聯(lián)的是另一個(gè)微博賬號(hào), 作何處理?
三���、 一鍵登陸3.1 背景回顧一下 手機(jī)號(hào)+驗(yàn)證碼 的登錄方式: - 輸入手機(jī)號(hào)���、等待驗(yàn)證碼短信、輸入驗(yàn)證碼��、點(diǎn)擊登錄���。整個(gè)流程走完可能需要 20 秒以上���,操作也比較繁瑣;
- 它是依賴短信網(wǎng)絡(luò)的���,因?yàn)槿绻詹坏蕉绦?���,也就登錄不了了?/section>
- 從安全角度考慮���,還存在驗(yàn)證碼泄漏的風(fēng)險(xiǎn)����。如果有人知道了你的手機(jī)號(hào),并且竊取到了驗(yàn)證碼���,那他也能登錄你的賬號(hào)了���。
但回過頭來想一下,為什么我們需要驗(yàn)證碼����?驗(yàn)證碼的作用就是確定這個(gè)手機(jī)號(hào)是你的,那除了使用短信��,是否還有別的方式對(duì)手機(jī)號(hào)進(jìn)行認(rèn)證����? - 如果能獲取到當(dāng)前使用的手機(jī)號(hào),就能對(duì)用戶輸入的號(hào)碼進(jìn)行驗(yàn)證了���。但出于安全考慮����,客戶端是無法直接獲取到手機(jī)號(hào)的���,運(yùn)營(yíng)商則可以通過
SIM 卡數(shù)據(jù)查詢到���。 - 現(xiàn)在運(yùn)營(yíng)商已經(jīng)開放了相關(guān)的能力,現(xiàn)在我們可以在用戶輸入手機(jī)號(hào)后��,通過調(diào)用運(yùn)營(yíng)商的接口��,判斷用戶輸入的手機(jī)號(hào)是否和本地號(hào)碼一致��。這樣一來���,用戶就省去了等待驗(yàn)證碼短信����、輸入驗(yàn)證碼的過程���,也不受短信網(wǎng)絡(luò)的限制���,簡(jiǎn)化了登錄流程。
- 但再進(jìn)一步想���,如果運(yùn)營(yíng)商可以把當(dāng)前的號(hào)碼直接返回給我們��,而不只是用于驗(yàn)證����,那用戶連手機(jī)號(hào)都不需要填了。
這就是該部分的主角:一鍵登錄 ���。 3.2 本機(jī)號(hào)碼認(rèn)證獲取到當(dāng)前手機(jī)使用的手機(jī)卡號(hào)����,直接使用這個(gè)號(hào)碼進(jìn)行登錄���,這就是一鍵登錄���。 這種登錄方式的好處是顯而易見的。它可以更方便���、快捷地完成注冊(cè)���、登錄流程,將原本可能需要 20 秒的流程��,縮短到了 2 秒左右,很大程度上提升了登錄的用戶體驗(yàn)���。 主要步驟如下: - SDK 初始化:調(diào)用 SDK 的初始化方法,傳入項(xiàng)目在平臺(tái)上的 AppKey 和 AppSecret��。
- 喚起授權(quán)頁:調(diào)用 SDK 喚起授權(quán)接口��。SDK 會(huì)先向運(yùn)營(yíng)商發(fā)起獲取手機(jī)號(hào)驗(yàn)碼的請(qǐng)求����,請(qǐng)求成功后跳轉(zhuǎn)到授權(quán)頁。授權(quán)頁會(huì)顯示手機(jī)號(hào)掩碼以及運(yùn)營(yíng)商協(xié)議給用戶確認(rèn)��。
- 同意授權(quán)并登錄:用戶同意相關(guān)協(xié)議���,點(diǎn)擊授權(quán)頁面的登錄按鈕����,SDK 會(huì)請(qǐng)求本次取號(hào)的 token��,請(qǐng)求成功后將 token 返回給客戶端���。
- 取號(hào):將獲取到的 token 發(fā)送到我們自己的服務(wù)器���,由服務(wù)器攜帶 token 調(diào)用運(yùn)營(yíng)商一鍵登錄的接口��,調(diào)用成功就返回手機(jī)號(hào)碼了����。服務(wù)器用手機(jī)號(hào)進(jìn)行登錄或注冊(cè)操作���,返回操作結(jié)果給客戶端���,完成一鍵登錄。
目前阿里云已經(jīng)提供了該方式并可兼容三大運(yùn)營(yíng)商的號(hào)碼��,詳見 阿里云SDK: https://help.aliyun.com/document_detail/121113.html
推薦3個(gè)原創(chuàng)springboot+Vue項(xiàng)目���,有完整視頻講解與文檔和源碼:
|
