news 2026/7/15 3:46:04

扫码登录背后的黑科技:PC 端与手机端是如何通过 WebSocket 实现“秒级同步”的?

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
扫码登录背后的黑科技:PC 端与手机端是如何通过 WebSocket 实现“秒级同步”的?

📱 前言:世界上最遥远的距离

你有没有想过这样一个问题:
当你坐在电脑前打开淘宝,网页上出现一个二维码。
你掏出手机扫了一下,点击“确认登录”。
神奇的事情发生了:电脑网页竟然不需要刷新,瞬间就跳进了首页!

手机和电脑,明明是两个毫无关联的设备,它们不在同一个局域网,甚至可能相隔千里。手机是怎么“告诉”电脑:“喂,我准许你登录了”?

很多人会说:“轮询呗,网页每秒问一次服务器。”
错!这种做法既浪费流量又延迟高。
今天,我们就来揭秘大厂通用的WebSocket 长连接方案,看看这套“隔空传音”的黑科技是如何实现的。


🧠 核心原理:那张二维码里到底藏了什么?

首先,我们要打破一个认知误区:手机并不是直接跟电脑说话。
它们之间有一个中间人——服务器。而连接它们的纽带,就是一个全局唯一的 ID (UUID)

当你在 PC 端打开登录页时,服务器生成了一个 UUID(比如8f9a2d...),并把它做成了二维码。

  • PC 端:手里拿着这个 UUID,眼巴巴地等着服务器通知。
  • 手机端:扫码后读到了这个 UUID,告诉服务器:“我是用户 A,我授权这个 UUID 登录。”
  • 服务器:收到手机指令后,找到手持这个 UUID 的 PC 端,发个消息说:“你通过了!”

🚀 架构演进:从“轮询”到“长连接”

1. 青铜方案:HTTP 短轮询 (Short Polling)

PC 端每隔 1 秒发一个 HTTP 请求问服务器:“有人扫码了吗?”

  • 缺点:QPS 极高,服务器压力山大,且有 1 秒的延迟感。
2. 黄金方案:WebSocket 长连接

PC 端和服务器建立一条全双工的 TCP 长连接。
一旦手机扫码成功,服务器主动推送消息给 PC。

  • 优点:毫秒级同步,服务器资源消耗极低。

交互时序图:

PC浏览器业务服务器Redis缓存手机App第一阶段:获取二维码 & 建立长连接1. 请求生成登录二维码2. 生成 UUID (状态: WAITING)3. 返回 UUID 和 二维码图片4. 发起 WebSocket 连接 (携带 UUID)5. 连接成功,保持心跳第二阶段:手机扫码 & 授权6. 扫描屏幕上的二维码7. 发送确认登录请求 (UUID + UserToken)8. 校验 UserToken 合法性9. 更新 UUID 状态为 CONFIRMED10. 绑定 UserInfo 到该 UUID第三阶段:服务器主动推送11. WebSocket 推送: LoginSuccess(Token)12. 存储 Token 跳转首页PC浏览器业务服务器Redis缓存手机App

🛠️ 实战开发:Spring Boot + WebSocket 实现

1. 服务端:建立 WebSocket 通道

我们需要维护一个ConcurrentHashMap,用于存储UUID -> WebSocketSession的映射关系,这样服务器才能根据 UUID 找到对应的 PC 连接。

@ServerEndpoint("/ws/login/{uuid}")@ComponentpublicclassQrCodeWebSocket{// 存储在线连接:Key=UUID, Value=SessionprivatestaticfinalMap<String,Session>SESSIONS=newConcurrentHashMap<>();@OnOpenpublicvoidonOpen(Sessionsession,@PathParam("uuid")Stringuuid){SESSIONS.put(uuid,session);System.out.println("PC端已连接,等待扫码: "+uuid);}@OnClosepublicvoidonClose(@PathParam("uuid")Stringuuid){SESSIONS.remove(uuid);}/** * 发送消息给 PC 端 */publicstaticvoidsendMessage(Stringuuid,Stringmessage){Sessionsession=SESSIONS.get(uuid);if(session!=null&&session.isOpen()){try{session.getBasicRemote().sendText(message);}catch(IOExceptione){e.printStackTrace();}}}}
2. 服务端:手机确认接口

当用户在手机点击“确认登录”时,调用此 HTTP 接口。

@RestController@RequestMapping("/api/login")publicclassLoginController{@PostMapping("/confirm")publicResultconfirmLogin(@RequestBodyLoginRequestrequest){Stringuuid=request.getUuid();StringuserId=request.getUserId();// 从手机端 Token 解析出来// 1. 校验 UUID 是否过期 (查 Redis)if(!redisTemplate.hasKey("qr:"+uuid)){returnResult.fail("二维码已失效");}// 2. 生成 PC 端专用的临时 TokenStringpcToken=jwtService.createToken(userId);// 3. 【核心步骤】通过 WebSocket 通知 PC 端// 构造消息体Stringmessage=newJSONObject().put("code",200).put("type","LOGIN_SUCCESS").put("token",pcToken).toString();QrCodeWebSocket.sendMessage(uuid,message);returnResult.success();}}
3. 前端:PC 网页端逻辑
// 生成 UUID 后constuuid="8f9a2d...";constws=newWebSocket("ws://localhost:8080/ws/login/"+uuid);ws.onmessage=function(event){constdata=JSON.parse(event.data);if(data.type==="LOGIN_SUCCESS"){console.log("手机确认了!跳转首页...");localStorage.setItem("token",data.token);window.location.href="/index";}};ws.onclose=function(){console.log("二维码已过期,请刷新");};

🛡️ 安全性思考:二维码被截获了怎么办?

如果黑客把你的二维码截图发给他自己,他扫了,你的电脑岂不是登录了他的号?或者反过来,你扫了黑客的码,黑客在异地登录了你的号?

这就是QRLacking(二维码劫持)攻击。
防御策略:

  1. 一次性 Token:WebSocket 推送给 PC 的 Token 应该是短效的(如 30 秒有效),PC 端拿到后必须立刻换取长效 Token。
  2. 二次确认:手机端扫码后,必须在界面上显示“即将登录 Windows Chrome 浏览器,IP 地址:上海”,让用户肉眼确认是否是本人操作。
  3. 状态绑定:Redis 中的 UUID 状态机设计:WAITING(等待扫码) ->SCANNED(已扫码,手机端显示头像) ->CONFIRMED(已确认)。

📝 总结

“扫码登录”看似简单,实则是HTTP、WebSocket、Redis、安全认证多种技术的综合应用。

  • UUID是信物。
  • Redis是状态公告栏。
  • WebSocket是直通专线。

掌握了这套机制,你不仅能做扫码登录,还能做扫码支付、扫码投屏、多屏互动等各种好玩的功能。


博主留言:
你的项目里还在用轮询做状态同步吗?
在评论区回复“WS”,我发给你一份《Spring Boot WebSocket 完美整合包(含心跳检测 + 断线重连)》,助你打造丝滑的实时应用!

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/15 2:20:46

一文详解Java中Thread、ThreadGroup 和 ThreadLocal<T> 三者的区别和用途

01-Thread (线程)1.1 核心含义Thread是Java中表示和管理“线程”本⾝的类&#xff1b;⼀个Thread对象就对应着⼀条独⽴的执⾏路径1.2 主要作用并发执行&#xff1a;允许程序同时运⾏多个任务&#xff0c;提⾼资源利⽤率和响应速度 封装任务&#xff1a;将需要并发执⾏的代码封装…

作者头像 李华
网站建设 2026/7/12 2:40:40

【time-rs】time库 ComponentRange 错误类型详解(error/component_range.rs)

这是一个 Rust 时间库中的组件范围错误类型&#xff0c;用于表示时间组件&#xff08;如年、月、日、时、分、秒等&#xff09;值超出允许范围的情况。 1. 结构体定义 pub struct ComponentRange {pub(crate) name: &static str, // 组件名称pub(crate) minimum: i64…

作者头像 李华
网站建设 2026/7/14 5:02:10

Qt定时执行:槽函数并非必须

在Qt C中&#xff0c;定周期执行一个函数时&#xff0c;链接的函数不一定必须是槽函数&#xff0c;但具体取决于实现方式。以下是详细分析&#xff1a; 1. 使用QTimer 信号-槽机制&#xff08;需要槽函数&#xff09; 原理&#xff1a;QTimer的timeout()信号连接到目标对象的…

作者头像 李华
网站建设 2026/7/10 1:31:00

基于单片机的多功能LCD音乐播放器设计

基于单片机的多功能LCD音乐播放器设计概述 点击下载设计资料&#xff1a;https://download.csdn.net/download/m0_51061483/92081531 1.1 设计背景与研究意义 随着嵌入式系统技术和数字多媒体技术的不断发展&#xff0c;基于单片机的音频播放设备在教学实验、电子设计实践以及…

作者头像 李华
网站建设 2026/7/15 3:12:40

粒子群算法在风光储微电网优化调度中的应用:经济目标下的电源侧与负荷侧运行策略优化

基于粒子群算法的考虑需求侧响应的风光储微电网优化调度 考虑电源侧与负荷侧运行成本&#xff0c;以经济运行为目标函数&#xff0c;风电、光伏、储能出力、上级电网购电记忆可削减负荷为优化变量&#xff0c;并采用粒子群算法进行求解。1. 系统概述 本项目实现了一个基于多目标…

作者头像 李华
网站建设 2026/7/14 5:54:03

DAY11@浙大疏锦行

笔记&#xff1a;参数优化步骤&#xff1a;1.在调参前&#xff0c;先建立基线模型&#xff1a;- 使用**默认参数**训练模型- 记录性能指标作为**对比基准**- 后续调参效果以此为参照2.对参数进行定义1️⃣ 网格搜索 (GridSearchCV)- 需要定义参数的**固定列表**&#xff08;par…

作者头像 李华