現(xiàn)在幾乎大部分的 App 都支持使用多個(gè)第三方賬號(hào)進(jìn)行登錄,如:微信、QQ�����、微博等,我們把此稱(chēng)為多賬號(hào)統(tǒng)一登陸��。而這些賬號(hào)的表設(shè)計(jì)��,流程設(shè)計(jì)至關(guān)重要����,不然后續(xù)擴(kuò)展性賊差。
本文不提供任何代碼實(shí)操����,但是梳理一下博主根據(jù)我司賬號(hào)模塊的設(shè)計(jì)��,提供思路��,僅供參考。
1.1 手機(jī)號(hào)登陸注冊(cè)
該設(shè)計(jì)的思路是每個(gè)手機(jī)號(hào)對(duì)應(yīng)一個(gè)用戶(hù)���,手機(jī)號(hào)為必填項(xiàng)����。
流程:
- 首先輸入手機(jī)號(hào)���,然后發(fā)送到服務(wù)端��。先判斷該手機(jī)號(hào)是否存在賬號(hào),如果沒(méi)有���,就會(huì)生成隨機(jī)驗(yàn)證碼,將手機(jī)號(hào)和驗(yàn)證碼綁定到
Redis中����,并設(shè)置一定的過(guò)期時(shí)間(過(guò)期時(shí)間一般是5分鐘��,這就是我們一般手機(jī)驗(yàn)證碼的有效期),最后將驗(yàn)證碼通過(guò)短信發(fā)送給用戶(hù)���。 - 用戶(hù)接收到驗(yàn)證碼后,在界面填寫(xiě)驗(yàn)證碼以及密碼等基礎(chǔ)信息�,然后將這些數(shù)據(jù)發(fā)送服務(wù)端��。服務(wù)端收到后��,先判斷在
Redis里面這個(gè)手機(jī)號(hào)對(duì)應(yīng)的驗(yàn)證碼是否一致�����,��,失敗就返回錯(cuò)誤碼,成功就給用戶(hù)創(chuàng)建一個(gè)賬號(hào)和保存密碼�。 - 注冊(cè)成功后�����,用戶(hù)即可通過(guò)自己的
手機(jī)號(hào)+密碼進(jìn)行登陸�。
問(wèn)題:
- 用戶(hù)體驗(yàn)差����,需要完成獲取驗(yàn)證碼����,填寫(xiě)驗(yàn)證碼/密碼/用戶(hù)名等諸多的信息完成注冊(cè)��,然后才能使用��;
- 容易遺忘密碼,遺忘后����,只能通過(guò)忘記密碼來(lái)重新設(shè)置密碼。
1.2 優(yōu)化注冊(cè)登陸
該方案的思路是弱化密碼的必填性�,即無(wú)論用戶(hù)是否注冊(cè)過(guò)�����,可通過(guò) 手機(jī)號(hào)+驗(yàn)證碼 直接進(jìn)行登陸(保留 手機(jī)號(hào)+密碼登錄的方式)�����。
流程:
- 輸入手機(jī)號(hào)���,然后發(fā)送到服務(wù)端�����。服務(wù)端生成隨機(jī)驗(yàn)證碼,將手機(jī)號(hào)和驗(yàn)證碼綁定到
Redis中����,并設(shè)置一定的過(guò)期時(shí)間(過(guò)期時(shí)間一般是5分鐘�����,這就是我們一般手機(jī)驗(yàn)證碼的有效期),最后將驗(yàn)證碼通過(guò)短信發(fā)送給用戶(hù)�����。 - 用戶(hù)接收到驗(yàn)證碼后�,在界面只需填寫(xiě)收到的驗(yàn)證碼���,提交到服務(wù)端。服務(wù)端收到后,先判斷在
Redis里面這個(gè)手機(jī)號(hào)對(duì)應(yīng)的驗(yàn)證碼是否一致,失敗就返回錯(cuò)誤碼�����,成功就直接登錄。如果是老用戶(hù)��,直接拉取用戶(hù)信息���;如果是新用戶(hù),則提示他可以完善用戶(hù)信息(不強(qiáng)制)��。 - 用戶(hù)通過(guò)
手機(jī)號(hào)+驗(yàn)證碼登錄后,也可選擇設(shè)置密碼�,然后就可以通過(guò) 手機(jī)號(hào)+密碼的方式登錄,即:密碼是非必填項(xiàng)����。
用戶(hù)表設(shè)計(jì):
1.3 引入第三方賬戶(hù)方案
1.3.1 微博登錄
進(jìn)入 Web2.0 時(shí)代 ,微博開(kāi)放了第三方網(wǎng)站登錄, 產(chǎn)品說(shuō), 這個(gè)我們得要, 加個(gè)用微博帳號(hào)就能登錄我們的 App吧,而且得和我們自己的用戶(hù)表關(guān)聯(lián)����。
流程:
- 客戶(hù)端調(diào)用微博登錄的界面�����,進(jìn)行輸入用戶(hù)名、密碼����,登錄成功后�,會(huì)返回
access_token,通過(guò) access_token調(diào)取 API接口獲取用戶(hù)信息���。 - 服務(wù)端通過(guò)用戶(hù)信息在我們用戶(hù)表創(chuàng)建一個(gè)賬號(hào),以后���,該第三方賬號(hào)即可通過(guò)該微博賬號(hào)直接進(jìn)行登陸��。
微博用戶(hù)信息表設(shè)計(jì):
1.3.2 噩夢(mèng)來(lái)臨
緊接著, QQ又開(kāi)放用戶(hù)登錄了, 微信開(kāi)放用戶(hù)登錄了,網(wǎng)易開(kāi)發(fā)用戶(hù)登錄了�����。�。�����。��。���。�����。一下子要接入好多家第三方登錄了, 只能按照 “微博用戶(hù)信息表” 新建一個(gè)表����,重寫(xiě)一套各個(gè)第三方登錄��。
2.1 原賬號(hào)體系分析
- 自建登陸體系:無(wú)論
手機(jī)號(hào)+密碼 , 還是 手機(jī)號(hào)+驗(yàn)證碼 , 都是一種 用戶(hù)信息+密碼 的驗(yàn)證形式���; - 第三方登錄:也是
用戶(hù)信息+密碼 的形式, 用戶(hù)信息即第三方系統(tǒng)中的 ID(第三方系統(tǒng)中的唯一標(biāo)識(shí)), 密碼即 access_token, 只不過(guò)是一種有使用時(shí)效定期修改的密碼�����。
2.2 新的賬號(hào)體系
2.2.1 數(shù)據(jù)表設(shè)計(jì)
用戶(hù)基礎(chǔ)信息表:
用戶(hù)授權(quán)信息表:
| | | | |
|---|
| | 登錄類(lèi)型(手機(jī)號(hào)/郵箱) 或第三方應(yīng)用名稱(chēng) (微信/微博等) | 手機(jī)號(hào)/郵箱/第三方的唯一標(biāo)識(shí) | 密碼憑證 (自建賬號(hào)的保存密碼, 第三方的保存 token) |
說(shuō)明:
- 用戶(hù)表分為
用戶(hù)基礎(chǔ)信息表 + 用戶(hù)授權(quán)信息表���; - 用戶(hù)信息表不保存任何密碼, 不保存任何登錄信息(如用戶(hù)名, 手機(jī)號(hào), 郵箱), 只留有昵稱(chēng)、頭像等基礎(chǔ)信息; 所有和授權(quán)相關(guān),都放在用戶(hù)信息授權(quán)表, 用戶(hù)信息表和用戶(hù)授權(quán)表是一對(duì)多的關(guān)系 ����。
2.2.2 登錄流程
沿用之前的方案�����。
用戶(hù)填寫(xiě) 郵箱/手機(jī)號(hào)+密碼; 請(qǐng)求登錄的時(shí)候, 先判斷類(lèi)型, 如手機(jī)號(hào)登錄為例:
使用 type='phone' 結(jié)合 identifier='手機(jī)號(hào)' 查找, 如有, 取出并判斷 password_hash(密碼)是否和該條目的 credential 相符, 相符則通過(guò)驗(yàn)證, 隨后通過(guò) user_id 獲取用戶(hù)信息;
查詢(xún) type='weixin' 結(jié)合 identifier='微信 openId', 如果有記錄, 則直接登錄成功, 并更新 token; 假設(shè)與微信服務(wù)器通信不被劫持的情況下無(wú)需判斷憑證問(wèn)題�����。
2.2.3 優(yōu)缺點(diǎn)
優(yōu)點(diǎn):
- 登錄類(lèi)型無(wú)限擴(kuò)展, 新增登錄類(lèi)型的開(kāi)發(fā)成本顯著降低;
- 原來(lái)?xiàng)l件下, 應(yīng)用需要驗(yàn)證手機(jī)號(hào)是否已驗(yàn)證和郵箱是否已驗(yàn)證, 需要相對(duì)應(yīng)多一個(gè)字段如
phone_verified 和 email_verified, 如今只要在 用戶(hù)授權(quán)信息表 表中增加一個(gè)統(tǒng)一的 verified字段, 每種登錄方式都可以直觀(guān)看到是否已驗(yàn)證情況; - 在
用戶(hù)授權(quán)信息表 添加相應(yīng)的時(shí)間和 IP 地址, 就可以更加完整地跟蹤用戶(hù)的使用習(xí)慣, 比如:已經(jīng)不使用微博登錄兩年多, 已經(jīng)綁定微信 300天; - 如果你說(shuō)郵箱和手機(jī)號(hào)就是用戶(hù)信息的組成部分, users 表盡管拓展, users 表里依然有email , phone , 但他們僅僅作為“展示用途”,和昵稱(chēng),頭像或者性別這些屬性沒(méi)有本質(zhì)區(qū)別;
- 可按需綁定任意數(shù)量的同類(lèi)型登錄方式, 即一個(gè)用戶(hù)可以綁定多個(gè)微信, 可以有多個(gè)郵箱, 可以有多個(gè)手機(jī)號(hào)����。當(dāng)然你也可以限制一種登錄方式只有一條記錄;
缺點(diǎn) :
用戶(hù)同時(shí)存在郵箱、用戶(hù)名�����、手機(jī)號(hào)等多種站內(nèi)登錄方式時(shí), 改密碼時(shí)必須一起改, 否則就變成了 郵箱+新密碼, 手機(jī)號(hào)+舊密碼都可以登錄, 肯定是很詭異的情況;
代碼量增加了, 有些情況下邏輯判斷增加了, 難度增大了; 舉個(gè)例子, 無(wú)論用戶(hù)是否已登錄, 無(wú)論用戶(hù)是否已注冊(cè)過(guò), 都是點(diǎn)擊同一鏈接前往微博第三方授權(quán)后返回, 可能出現(xiàn)幾種情況:
- 該微博在本站未注冊(cè)過(guò), 很好, 直接給他注冊(cè)關(guān)聯(lián)并登錄;
- 該微博已經(jīng)在本站存在, 當(dāng)前用戶(hù)未登錄, 直接登錄成功��;
- 該微博未在本站注冊(cè), 但當(dāng)前用戶(hù)已經(jīng)登錄并關(guān)聯(lián)的是另一個(gè)微博帳號(hào), 作何處理取決于是否允許綁定多個(gè)微博帳號(hào)����;
- 該微博未在本站注冊(cè)過(guò), 當(dāng)前用戶(hù)已登錄, 嘗試進(jìn)行綁定操作�����;
- 該微博已經(jīng)注冊(cè), 用戶(hù)又已使用該帳號(hào)登錄, 為何他重復(fù)綁定自己;
- 該微博已經(jīng)在本站存在, 但當(dāng)前用戶(hù)已經(jīng)登錄并關(guān)聯(lián)的是另一個(gè)微博帳號(hào), 作何處理?
3.1 背景
回顧一下 手機(jī)號(hào)+驗(yàn)證碼 的登錄方式:
- 輸入手機(jī)號(hào)��、等待驗(yàn)證碼短信�����、輸入驗(yàn)證碼、點(diǎn)擊登錄���。整個(gè)流程走完可能需要 20 秒以上,操作也比較繁瑣;
- 它是依賴(lài)短信網(wǎng)絡(luò)的��,因?yàn)槿绻詹坏蕉绦?��,也就登錄不了了?/span>
- 從安全角度考慮�����,還存在驗(yàn)證碼泄漏的風(fēng)險(xiǎn)。如果有人知道了你的手機(jī)號(hào)��,并且竊取到了驗(yàn)證碼���,那他也能登錄你的賬號(hào)了�����。
但回過(guò)頭來(lái)想一下�����,為什么我們需要驗(yàn)證碼���?驗(yàn)證碼的作用就是確定這個(gè)手機(jī)號(hào)是你的�����,那除了使用短信,是否還有別的方式對(duì)手機(jī)號(hào)進(jìn)行認(rèn)證����?
- 如果能獲取到當(dāng)前使用的手機(jī)號(hào)��,就能對(duì)用戶(hù)輸入的號(hào)碼進(jìn)行驗(yàn)證了。但出于安全考慮��,客戶(hù)端是無(wú)法直接獲取到手機(jī)號(hào)的,運(yùn)營(yíng)商則可以通過(guò)
SIM 卡數(shù)據(jù)查詢(xún)到�。 - 現(xiàn)在運(yùn)營(yíng)商已經(jīng)開(kāi)放了相關(guān)的能力��,現(xiàn)在我們可以在用戶(hù)輸入手機(jī)號(hào)后,通過(guò)調(diào)用運(yùn)營(yíng)商的接口�����,判斷用戶(hù)輸入的手機(jī)號(hào)是否和本地號(hào)碼一致�。這樣一來(lái)�,用戶(hù)就省去了等待驗(yàn)證碼短信�、輸入驗(yàn)證碼的過(guò)程���,也不受短信網(wǎng)絡(luò)的限制��,簡(jiǎn)化了登錄流程。
- 但再進(jìn)一步想�,如果運(yùn)營(yíng)商可以把當(dāng)前的號(hào)碼直接返回給我們����,而不只是用于驗(yàn)證����,那用戶(hù)連手機(jī)號(hào)都不需要填了�。
這就是該部分的主角:一鍵登錄 。
3.2 本機(jī)號(hào)碼認(rèn)證
獲取到當(dāng)前手機(jī)使用的手機(jī)卡號(hào)����,直接使用這個(gè)號(hào)碼進(jìn)行登錄��,這就是一鍵登錄。
這種登錄方式的好處是顯而易見(jiàn)的���。它可以更方便�����、快捷地完成注冊(cè)��、登錄流程�����,將原本可能需要 20 秒的流程����,縮短到了 2 秒左右����,很大程度上提升了登錄的用戶(hù)體驗(yàn)。
主要步驟如下:
- SDK 初始化:調(diào)用 SDK 的初始化方法����,傳入項(xiàng)目在平臺(tái)上的 AppKey 和 AppSecret��。
- 喚起授權(quán)頁(yè):調(diào)用 SDK 喚起授權(quán)接口。SDK 會(huì)先向運(yùn)營(yíng)商發(fā)起獲取手機(jī)號(hào)驗(yàn)碼的請(qǐng)求�,請(qǐng)求成功后跳轉(zhuǎn)到授權(quán)頁(yè)��。授權(quán)頁(yè)會(huì)顯示手機(jī)號(hào)掩碼以及運(yùn)營(yíng)商協(xié)議給用戶(hù)確認(rèn)�����。
- 同意授權(quán)并登錄:用戶(hù)同意相關(guān)協(xié)議,點(diǎn)擊授權(quán)頁(yè)面的登錄按鈕�,SDK 會(huì)請(qǐng)求本次取號(hào)的 token���,請(qǐng)求成功后將 token 返回給客戶(hù)端���。
- 取號(hào):將獲取到的 token 發(fā)送到我們自己的服務(wù)器����,由服務(wù)器攜帶 token 調(diào)用運(yùn)營(yíng)商一鍵登錄的接口,調(diào)用成功就返回手機(jī)號(hào)碼了��。服務(wù)器用手機(jī)號(hào)進(jìn)行登錄或注冊(cè)操作���,返回操作結(jié)果給客戶(hù)端,完成一鍵登錄�����。
目前阿里云已經(jīng)提供了該方式并可兼容三大運(yùn)營(yíng)商的號(hào)碼�����,詳見(jiàn) 阿里云SDK:
https://help.aliyun.com/document_detail/121113.html
在設(shè)計(jì)和選擇系統(tǒng)方案時(shí)���,沒(méi)有絕對(duì)的最佳方案�����,而是應(yīng)根據(jù)具體情況來(lái)選擇適用的設(shè)計(jì)。每個(gè)系統(tǒng)和項(xiàng)目都有自己的特點(diǎn)和需求��,因此需要靈活地根據(jù)實(shí)際情況做出決策����。多賬號(hào)統(tǒng)一登錄實(shí)現(xiàn)方案同樣也不斷發(fā)展改進(jìn)�,相信以后還會(huì)有更好的方案來(lái)替代�����!
?來(lái)源:https://www.panziye.com/back/7785.html
該文章在 2025/8/8 13:07:44 編輯過(guò)
400 186 1886
