我們公司用了 3 年多的多賬號統一登錄方案,萬能通用,穩的一批!

来源:https://www.cnblogs.com/javastack/archive/2023/09/27/17732662.html
-Advertisement-
Play Games

作者:VanFan 來源:juejin.cn/post/6844904053411938311 現在幾乎大部分的 App 都支持使用多個第三方賬號進行登錄,如:微信、QQ、微博等,我們把此稱為多賬號統一登陸。而這些賬號的表設計,流程設計至關重要,不然後續擴展性賊差。 本文不提供任何代碼實操,但是梳理 ...


作者:VanFan
來源:juejin.cn/post/6844904053411938311

現在幾乎大部分的 App 都支持使用多個第三方賬號進行登錄,如:微信、QQ、微博等,我們把此稱為多賬號統一登陸。而這些賬號的表設計,流程設計至關重要,不然後續擴展性賊差。

本文不提供任何代碼實操,但是梳理一下博主根據我司賬號模塊的設計,提供思路,僅供參考。

一、 自建的登陸體系

1.1.1 手機號登陸註冊

該設計的思路是每個手機號對應一個用戶,手機號為必填項。

流程:

  1. 首先輸入手機號,然後發送到服務端。先判斷該手機號是否存在賬號,如果沒有,就會生成隨機驗證碼,將手機號和驗證碼綁定到 Redis中,並設置一定的過期時間(過期時間一般是5分鐘,這就是我們一般手機驗證碼的有效期),最後將驗證碼通過簡訊發送給用戶。
  2. 用戶接收到驗證碼後,在界面填寫驗證碼以及密碼等基礎信息,然後將這些數據發送服務端。服務端收到後,先判斷在 Redis裡面這個手機號對應的驗證碼是否一致,,失敗就返回錯誤碼,成功就給用戶創建一個賬號和保存密碼。
  3. 註冊成功後,用戶即可通過自己的 手機號+密碼進行登陸。

問題:

  1. 用戶體驗差,需要完成獲取驗證碼,填寫驗證碼/密碼/用戶名等諸多的信息完成註冊,然後才能使用;
  2. 容易遺忘密碼,遺忘後,只能通過忘記密碼來重新設置密碼。

1.1.2 優化註冊登陸

該方案的思路是弱化密碼的必填性,即無論用戶是否註冊過,可通過 手機號+驗證碼 直接進行登陸(保留 手機號+密碼登錄的方式)。

推薦一個開源免費的 Spring Boot 實戰項目:

https://github.com/javastacks/spring-boot-best-practice

流程:

  1. 輸入手機號,然後發送到服務端。服務端生成隨機驗證碼,將手機號和驗證碼綁定到 Redis中,並設置一定的過期時間(過期時間一般是5分鐘,這就是我們一般手機驗證碼的有效期),最後將驗證碼通過簡訊發送給用戶。
  2. 用戶接收到驗證碼後,在界面只需填寫收到的驗證碼,提交到服務端。服務端收到後,先判斷在 Redis裡面這個手機號對應的驗證碼是否一致,失敗就返回錯誤碼,成功就直接登錄。如果是老用戶,直接拉取用戶信息;如果是新用戶,則提示他可以完善用戶信息(不強制)。
  3. 用戶通過 手機號+驗證碼登錄後,也可選擇設置密碼,然後就可以通過 手機號+密碼的方式登錄,即:密碼是非必填項。

用戶表設計:

id user_name user_password user_mobile state more
用戶id 用戶名 用戶密碼 手機號碼 賬號狀態 其他信息

1.2 引入第三方賬戶方案

1.2.1 微博登錄

進入 Web2.0 時代 ,微博開放了第三方網站登錄, 產品說, 這個我們得要, 加個用微博帳號就能登錄我們的 App吧,而且得和我們自己的用戶表關聯。

流程:

  1. 客戶端調用微博登錄的界面,進行輸入用戶名、密碼,登錄成功後,會返回 access_token,通過 access_token調取 API介面獲取用戶信息。
  2. 服務端通過用戶信息在我們用戶表創建一個賬號,以後,該第三方賬號即可通過該微博賬號直接進行登陸。

微博用戶信息表設計:

id user_id uid access_token
主鍵id 用戶id 微博唯一id 授權碼

1.2.2 噩夢來臨

緊接著, QQ又開放用戶登錄了, 微信開放用戶登錄了,網易開發用戶登錄了。。。。。。一下子要接入好多家第三方登錄了, 只能按照 “微博用戶信息表” 新建一個表,重寫一套各個第三方登錄。

二、 優化賬號體系

2.1 原賬號體系分析

  1. 自建登陸體系:無論 手機號+密碼 , 還是 手機號+驗證碼 , 都是一種 用戶信息+密碼 的驗證形式;
  2. 第三方登錄:也是 用戶信息+密碼 的形式, 用戶信息即第三方系統中的 ID(第三方系統中的唯一標識), 密碼即 access_token, 只不過是一種有使用時效定期修改的密碼。

2.2 新的賬號體系

2.2.1 數據表設計

用戶基礎信息表:

id nickname avatar more
用戶id 昵稱 頭像 其他信息

用戶授權信息表:

id user_id identity_type identifier credential
主鍵id 用戶id 登錄類型(手機號/郵箱) 或第三方應用名稱 (微信/微博等) 手機號/郵箱/第三方的唯一標識 密碼憑證 (自建賬號的保存密碼, 第三方的保存 token)

說明:

  1. 用戶表分為 用戶基礎信息表 + 用戶授權信息表
  2. 用戶信息表不保存任何密碼, 不保存任何登錄信息(如用戶名, 手機號, 郵箱), 只留有昵稱、頭像等基礎信息; 所有和授權相關,都放在用戶信息授權表, 用戶信息表和用戶授權表是一對多的關係

2.2.2 登錄流程

  • 手機號+驗證碼

沿用之前的方案。

  • 郵箱/手機號+密碼:

用戶填寫 郵箱/手機號+密碼; 請求登錄的時候, 先判斷類型, 如手機號登錄為例:

使用 type='phone' 結合 identifier='手機號' 查找, 如有, 取出並判斷 password_hash(密碼)是否和該條目的 credential 相符, 相符則通過驗證, 隨後通過 user_id 獲取用戶信息;

  • 第三方登錄, 如微信登錄:

查詢 type='weixin' 結合 identifier='微信 openId', 如果有記錄, 則直接登錄成功, 並更新 token; 假設與微信伺服器通信不被劫持的情況下無需判斷憑證問題。

2.2.3 優缺點

優點:

  1. 登錄類型無限擴展, 新增登錄類型的開發成本顯著降低;
  2. 原來條件下, 應用需要驗證手機號是否已驗證和郵箱是否已驗證, 需要相對應多一個欄位如 phone_verifiedemail_verified, 如今只要在 用戶授權信息表 表中增加一個統一的 verified欄位, 每種登錄方式都可以直觀看到是否已驗證情況;
  3. 用戶授權信息表 添加相應的時間和 IP 地址, 就可以更加完整地跟蹤用戶的使用習慣, 比如:已經不使用微博登錄兩年多, 已經綁定微信 300天;
  4. 如果你說郵箱和手機號就是用戶信息的組成部分, users 表儘管拓展, users 表裡依然有email , phone , 但他們僅僅作為“展示用途”,和昵稱,頭像或者性別這些屬性沒有本質區別;
  5. 可按需綁定任意數量的同類型登錄方式, 即一個用戶可以綁定多個微信, 可以有多個郵箱, 可以有多個手機號。當然你也可以限制一種登錄方式只有一條記錄;

缺點 :

  1. 用戶同時存在郵箱、用戶名、手機號等多種站內登錄方式時, 改密碼時必須一起改, 否則就變成了 郵箱+新密碼, 手機號+舊密碼都可以登錄, 肯定是很詭異的情況;

  2. 代碼量增加了, 有些情況下邏輯判斷增加了, 難度增大了; 舉個例子, 無論用戶是否已登錄, 無論用戶是否已註冊過, 都是點擊同一鏈接前往微博第三方授權後返回, 可能出現幾種情況:

  • 該微博在本站未註冊過, 很好, 直接給他註冊關聯並登錄;

  • 該微博已經在本站存在, 當前用戶未登錄, 直接登錄成功;

  • 該微博未在本站註冊, 但當前用戶已經登錄並關聯的是另一個微博帳號, 作何處理取決於是否允許綁定多個微博帳號;

  • 該微博未在本站註冊過, 當前用戶已登錄, 嘗試進行綁定操作;

  • 該微博已經註冊, 用戶又已使用該帳號登錄, 為何他重覆綁定自己;

  • 該微博已經在本站存在, 但當前用戶已經登錄並關聯的是另一個微博帳號, 作何處理?

三、 一鍵登陸

3.1 背景

回顧一下 手機號+驗證碼 的登錄方式:

  1. 輸入手機號、等待驗證碼簡訊、輸入驗證碼、點擊登錄。整個流程走完可能需要 20 秒以上,操作也比較繁瑣;
  2. 它是依賴簡訊網路的,因為如果收不到簡訊,也就登錄不了了。
  3. 從安全形度考慮,還存在驗證碼泄漏的風險。如果有人知道了你的手機號,並且竊取到了驗證碼,那他也能登錄你的賬號了。

但回過頭來想一下,為什麼我們需要驗證碼?驗證碼的作用就是確定這個手機號是你的,那除了使用簡訊,是否還有別的方式對手機號進行認證?

  1. 如果能獲取到當前使用的手機號,就能對用戶輸入的號碼進行驗證了。但出於安全考慮,客戶端是無法直接獲取到手機號的,運營商則可以通過 SIM 卡數據查詢到。
  2. 現在運營商已經開放了相關的能力,現在我們可以在用戶輸入手機號後,通過調用運營商的介面,判斷用戶輸入的手機號是否和本地號碼一致。這樣一來,用戶就省去了等待驗證碼簡訊、輸入驗證碼的過程,也不受簡訊網路的限制,簡化了登錄流程。
  3. 但再進一步想,如果運營商可以把當前的號碼直接返回給我們,而不只是用於驗證,那用戶連手機號都不需要填了。

這就是該部分的主角:一鍵登錄

3.2 本機號碼認證

獲取到當前手機使用的手機卡號,直接使用這個號碼進行登錄,這就是一鍵登錄。

這種登錄方式的好處是顯而易見的。它可以更方便、快捷地完成註冊、登錄流程,將原本可能需要 20 秒的流程,縮短到了 2 秒左右,很大程度上提升了登錄的用戶體驗。

主要步驟如下:

  1. SDK 初始化:調用 SDK 的初始化方法,傳入項目在平臺上的 AppKey 和 AppSecret。
  2. 喚起授權頁:調用 SDK 喚起授權介面。SDK 會先向運營商發起獲取手機號驗碼的請求,請求成功後跳轉到授權頁。授權頁會顯示手機號掩碼以及運營商協議給用戶確認。
  3. 同意授權並登錄:用戶同意相關協議,點擊授權頁面的登錄按鈕,SDK 會請求本次取號的 token,請求成功後將 token 返回給客戶端。
  4. 取號:將獲取到的 token 發送到我們自己的伺服器,由伺服器攜帶 token 調用運營商一鍵登錄的介面,調用成功就返回手機號碼了。伺服器用手機號進行登錄或註冊操作,返回操作結果給客戶端,完成一鍵登錄。

近期熱文推薦:

1.1,000+ 道 Java面試題及答案整理(2022最新版)

2.勁爆!Java 協程要來了。。。

3.Spring Boot 2.x 教程,太全了!

4.別再寫滿屏的爆爆爆炸類了,試試裝飾器模式,這才是優雅的方式!!

5.《Java開發手冊(嵩山版)》最新發佈,速速下載!

覺得不錯,別忘了隨手點贊+轉發哦!


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 全文約 5100 字,預計閱讀需要 15 分鐘。 JavaScript 運行時是指執行 JavaScript 代碼的環境。目前,JavaScript 生態中有三大運行時:Node.js、Bun、Deno。老牌運行時 Node.js 的霸主地位正受到 Deno 和 Bun 的挑戰,下麵就來看看這三個 ...
  • 這是我在博客園的第一篇博客,也是我人生中的第一篇博客。希望它能夠記錄我的成長,幫助更多的人。 最近在寫我們社團的社團網站,有一個頁面不太希望普通訪客能訪問到,所以想做一個“統一身份驗證驗證”,但是又苦於社團網站搭建是純靜態站,沒法做資料庫,只能妥協,將賬號密碼字元串組寫到JavaScript腳本里, ...
  • 說明: 輪播圖在前端開發中是一種常見的元素,通常用於展示一系列的圖片或者內容,並通過滑動或者點擊的方式進行切換。使用JavaScript來實現輪播圖有以下幾個意義: 提升用戶體驗:輪播圖可以在有限的空間內展示更多的內容,為用戶提供更多的信息。同時,輪播圖也具有較好的視覺效果,可以吸引用戶的註意力。 ...
  • 隨著業務的發展,前端項目承載了越來越多的職責,也越來越複雜,簡單通過 cli 生成的框架結構越來越無法滿足。 面對前端項目複雜度的不斷提升,我們開始思考前端的架構組織方式怎麼才更合理?應該如何設計良好的前端架構?行業是否有比較好的優秀實踐? 本文先從架構基本概念開始介紹,然後介紹整潔架構的概念和設計... ...
  • SpringBoot項目的分層 SpringBoot框架項目一般分為五層: View層:向用戶展示頁面 Controller層:前後端交互層,接收前端請求,調用Service層中的方法,接收Service層返回的數據並將其返回到前端。 Service層:存放業務處理的邏輯,以及一些操作資料庫的介面 ...
  • 1.創建獨立開發虛擬環境 1.1虛擬環境簡介 我們編寫的程式,有時用到的Python庫是不一樣的,比如說開發桌面應用程式我們主要用到PyQt5相關的Python庫、開發Web應用程式我們主要用到Django相關的Python庫等等。假設我們在開發桌面應用程式的時候除了PyQt5相關的Python庫外 ...
  • Spring-Boot-Starter 1. 準備配置類和 Bean 對象 Spring Boot 提供了兩個註解: @Configuration:Spring 提供的配置類註解,作用在類上,代表整個類是個 Spring 配置類,對照傳統的 Spring XML 配置文件。 @Bean:作用於方法上 ...
  • 不管哪個語言都有值傳遞,引用傳遞兩種方式,在C語言裡面引用傳遞用指針搞定。在Java裡面沒有指針,所以Java就規定(之前的設計)了某些類型是值傳遞,某些類型是引用傳遞,當然完全沒必要去全部類型分析一遍,比如int是什麼XX傳遞,String是什麼XX傳遞...,浪費時間,因為現在查AI那麼方便快捷 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...