主流移动端账号登录方式的原理及设计思路

最经典的用户名密码注册登陆方式

一个典型的用户名密码注册登陆功能类似于下面这样：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_x1.png

这种账号登陆方式很经典也很常用，先注册、再进行登录，尤其在老一点的 CMS 系统、网站系统、聊天应用中都能找到这个影子。

它的技术原理流程图如下：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_1.png

如上图所示，详细的流程说明如下：

• 1）前端将用户名、密码发送到服务器，服务器进行常规的判断，判断用户名、密码长度是否满足，用户名是否重复等条件，条件不通过直接返回对应错误码给到前端，这里密码字段，为了防止传输过程中被截胡，建议加密再上传，我们的传输密码默认都是会进行一个 md5 加密，然后记录到数据库再进行一层加密，就算是脱库也没事，密码不要明文存储。

• 2）校验通过后，就将用户名密码写入数据库，并进行后面积分发放等操作，这里不展开。

• 3）现在进行登录，前端将用户名，密码发送给到服务端，服务端首先会校验登录次数是否超过设置的阈值，如果超过只能继续等待被关小黑屋。

• 4）如果未超过继续登录逻辑，判断用户名、密码是否正确，不正确密码则进行阈值的判断，如果超过则关小黑屋，记住小黑屋必须设置过期时间，要不然就会永久关上了，这个可以用 redis 的过期来做。

• 5）登录成功后进行后续的一切后置逻辑，比如加积分。。。等操作。

这种经典的注册登陆方式，具体怎么设计就不在这里赘述了，谁都懂。

4 现今最主流的手机号注册登陆方式

1 基本原理

典型的手机号注册登陆功能类似于下图：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_2.jpg

典型的手机号注册技术原理流程图如下：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_2.png

如上图所示，详细的流程说明如下：

• 1）首先输入手机号：然后发送到服务端，服务端将手机号记录在我们数据库中，然后生成随机验证码，并将手机号和验证码绑定到一个 redis 里面，然后记录过期时间，这个过期时间一般是 10 分钟左右，这就是我们一般手机验证码的有效期；

• 2）手机接收到手机短信后：那么就在界面填写验证码发送服务端，服务端收到验证码后就会在 redis 里面查询到这个手机号对应的验证码，失败就返回错误码。

• 3）成功后：就进行登录操作。

这里看起来没有明确的注册登录操作，其实在发送手机号码就可以认为是一个常规的注册，然后后面的验证码输入就是一个登陆操作。

但这种区别于常见的用户名密码注册方式，是没有密码的的。

问： 那我要密码咋办？

答： 在后续产品里面增加一个手机号码密码补录的功能即可，这也是现在很常规的手法，但是现在移动互联网大爆炸时代，密码已经显得不是那么重要了，反正我从来记不住密码，如果手机号码能操作的 app，绝对不用密码来操作。

具体的数据库设计

表结构：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_t1.jpg

说明：

这里只是单纯说明需要用到的数据，没有扩展具体场景,这个表结构能够满足上面两个方案的设计。

一种辅助的登陆方式：第 3 方账号登陆

1 基本原理

现在很多应用为了降低新用户的使用门槛，都会对接第 3 方账号进行登陆（比如：用微信号登陆、QQ 号登陆、微博账号登陆等）。

这里我以 QQ 的开放平台登录逻辑为例进行讲解。

某团外卖的 QQ 账号登陆功能如下图：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_3.jpg

我们先来一波时序图：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_3.png

时序流程详细说明：

• 1）客户端自己调起登录的界面，进行输入用户名、密码，这里的是第三方的用户名，密码，登录成功后，会返回 access_token openid expire_in,这过程会使用到 oauth2.0，不过在 sdk 里面进行内置回调获取了，后面我们会说明我们自身实现的 oauth2.0；

• 2）客户端拿到 access_token、openid、login_type（qq、wechat...）请求应用服务器，应用服务器拿到这些数据后就会根据对应的 login_type 去对应的用户中心进行 access_token 和 openid 进行校验。校验不通过则返回对应错误码；

• 3）校验通过后就会判断本地是否有这个 login_type 和 openid 是否存在，不存在则进行获取远程的用户名、头像等基础信息来作为本地基础数据，并且返回 code 值；

• 4）如果已经存在，那就是进行登录操作，返回 code 值；

• 5）客户端拿到 code 值后进行 token 值的换取，这个完全遵照 oauth2.0 的协议来走的，后续每次请求必须带上 token，token 值在服务端的时间比较久，因为我们想要做的是那种永不下线的操作，所以每次请求我们都将 token 过期时间进行累加。

具体的数据库设计

表结构：

对于读者的建议，我这里做一下数据库的整理。

用户基础表（users）：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_t2.jpg

用户验证关联表（user_auth_rel）：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_t3.jpg

本地用户表（user_local_auth）：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_t4.jpg

第三方用户表（user_third_auth）：

IM开发基础知识补课(七)：主流移动端账号登录方式的原理及设计思路_t5.jpg

表结说明：

• 1）users 表只是单纯针对我们业务侧的登录，主要是做自身业务的 oauth2.0 业务；

• 2）user_local_auth 是做自己用户名、密码登录，手机号码登录信息记录；

• 3）user_third_auth 是我们第三方用户体系的数据记录；

• 4）user_auth_rel 是用来关联我们 users 表与 user_local_auth、user_third_auth；

• 5）整个设计理念就是将自建用户与第三方在存储上区分，这在架构演进上也是合乎情理的，开始用户体系大多自建，而后才是对外接入。

本文小结

总的来讲，账号注册登录功能在一般的系统里都是入口功能，一般情况下都不会太复杂。

对于第三方用户的接入技术，也同样比较简单，我文章里设计多一个 user_thirds 是可以支持足够多的第三方接入，当然一般我们也就两三个登录就好，太多登录方不仅自身维护成本，界面摆盘也不好看不是。

希望大家能够通过以上学习，能够对于账户注册登录有一个比较好的认知，文章里设计方案不包含分表分库、没有服务化，就是简单直接的设计，当然用户量和需要的不一样，在这个基础上还要加很多东西，谢谢大家阅读。

咨询热线：+86 400-966-9672

邮 箱：info@foreverht.com

官 网：https://www.workplus.io