公司最近在做扫描二维码登录，在看了一些原理的知识之后也和无线开发人员做了一些沟通，明确分配了无线app端可以为我们提供些什么，我们如何去更安全的做这个登录过程。首先还是原来的那张图只不过加了一些更加严谨的东西：

1. 服务器端成二维码之后，要设置一个定时器，用来判断二维码过期，这个前端也要做一个定时，但是不太好，要以服务器端的为准，服务器生成的二维码除了一个唯一标识还要有一个app下载连接，如果扫描二维码的app不是自己的产品要求跳转到下载app的页面，也就是说要加一个app下载的连接，当然除了连接+uid唯一标识，我们还需要一个时间戳，当移动端的app扫描的时候扫描的时候与二维码上的时间戳比较如果超过一段时间你们二维码就会过期，这里的信息要传递给服务器端，告诉服务器这个过期了。
2. 此刻网页也没闲着，一直发送请求到服务器监听返回消息，如果成功那么告诉服务器请求成功了，让app那边弹出授权窗口，app点击了确定之后给服务器，我前端脚本再请求服务器进行跳转
3. 当确定授权之后app会传送一个url给服务器里面包含一个memberid，服务器通过memberid这个值可以查到这个会员的所有信息。然后取出帐号和密码经过加密给前端脚本的请求，创造cookies放到浏览器里面，刷新页面，转换称登录状态！

本文由78oa系统编辑所撰，如若转载请注明出处。