阅读本文大概需要 5 分钟。

相信我们每个人经历过这样的场景：

手机扫码登录 PC 版微信，通过二维码扫描登录，笔记本上的微信就和手机微信同步登录了。这样免去输入繁琐的账号密码，确定方便得很。

对于这样的现象或许有些人都已经司空见惯了，但是有人有没有想过这其中的过程到底发生了什么呢？

其中它是如何实现的呢？这里受到这篇文章的启发

https://blog.csdn.net/zhang_zhenwei/article/details/80847473。

我们来简单研究下。这里以淘宝网站二维码扫描登录为例子。

01

首先，任何一个二维码表示的其实都是一串字符串。我们打开淘宝登录页面

https://login.taobao.com/member/login.jhtml

02

可以通过草料二维码网站解析出这张二维码表示的字符串，解析如下

https://login.m.taobao.com/qrcodeCheck.htm?lgToken=7a5943ff614a68802f415bcf117b1452&tbScanOpenType=Notification

这里面关键的就是 lgToken，这是标识网页的唯一 ID，也可以看做是一个登陆请求链接。

当打开了二维码登录后，我们通过 chrome 控制台，按 F12 查看 network 请求，会发现浏览器网页在轮询调用接口，这里截了张图，我们可以看到浏览器每隔 2 秒调用一次接口（注：这里是之前截的图，所以 lgToken 跟上面的不一样），而且不知道有人注意到没有，有两个不同的 lgToken 在重复。

03

访问网页源码，查找到如下 js 代码：

getQRCodeURL: "https://qrlogin.taobao.com/qrcodelogin/generateQRCode4Login.do",

访问此链接，得到如下 json 格式内容：

{"success":true,"message":"null","url":"//img.alicdn.com/tfscom/TB1E4gpIhnaK1RjSZFtwu2C2VXa.png","lgToken":"986c0f36214c1255d94abbb8dc7c6972","adToken":"cfb59d92e2e2900315438a0b70e62573"}

可知，其中 url 是二维码图片地址，lgToken 后面还有一个 adToken，这个 adToken 是干什么的呢？

我们继续查看，网页源代码还有如下的 js 代码：

checkQRCodeURL: "https://qrlogin.taobao.com/qrcodelogin/qrcodeLoginCheck.do",

不难猜到，这个链接是用来检查手机扫码的状态，也就是淘宝页面做了定时检查，当超过一定时间没有扫描，二维码就会过期，如需扫描需要重新刷新页面获取新的二维码。

访问的时候要加上 lgToken，如

https://qrlogin.taobao.com/qrcodelogin/qrcodeLoginCheck.dolgToken=986c0f36214c1255d94abbb8dc7c6972&defaulturl=https%3A%2F%2Fwww.taobao.com%2F

可以得到如下几种结果：

如果没有扫码，浏览器网页等待扫码，返回的是：

{"code":"10000","message":"login start   state","success":true}

如果扫码成功，但是手机上没点击“确认登录”的话，返回的是：

{"code":"10001","message":"mobile scan QRCode success","success":true}

二维码过期， 返回的是：

{"code":"10004","message":"QRCode expired!code=1,msg=data not exist","success":true}

当确认登录，也会返回一个 json ，有点长这里就不贴出了。

04

总结一下：

上面的过程，手机端与服务端做了哪些具体交互我们不得而知，但是可以猜测到，客户端在登录状态有效的情况下，获取了网页端二维码的信息，拿网页端的 lgToken 去请求了服务端，并且服务端记住了这个 lgToken，当网页端不断的用该 lgToken 轮询请求服务端状态时，与手机端的请求匹配一致，就认为是登录了，并且返回了真正的登录态 adToken。

最后以一张流程图总结扫码登录原理：

有什么看法欢迎留言和我讨论~

推荐阅读

关于知识付费的一些思考

ARTS-第-18-期