如何设计 QQ、微信等第三方帐号登录？

多帐户的统一登陆

名称解释

这里的多帐户区别于系统级别的，咱们讲的多帐户系统是指，在咱们互联网应用当中，咱们的应用会使用多个第三方帐号进行登陆，好比如今经常使用的APP：网易、微信、QQ等等。

本文内容

多帐户系统的技术方案细节，以及相应的表设计，流程设计。

架构演进

初期

归结为初期是由于这个时候用户量比较少，甚至尚未接入上面所说的其余第三方的帐户系统，只是自建的体系就能够知足，自建体系目前经常使用的有：

用户名密码注册登录

这种方式在不少初期网站建设会使用，先注册，再进行登陆，在老一点的cms中都能找到这个影子。

• 流程图：
  
• 流程说明：
  一、前端将用户名、密码发送到服务器，服务器进行常规的判断，判断用户名、密码长度是否知足，用户名是否重复等条件，条件不经过直接返回对应错误码给到前端，这里密码字段，为了防止传输过程当中被截胡，建议加密再上传，咱们的传输密码默认都是会进行一个md5加密，而后记录到数据库再进行一层加密，就算是脱库也没事，密码不要明文存储。
  二、校验经过后，就将用户名密码写入数据库，并进行后面积分发放等操做，这里不展开。
  三、如今进行登陆，前端将用户名，密码发送给到服务端，服务端首先会校验登陆次数是否超过设置的阈值，若是超过只能继续等待被关小黑屋。
  四、若是未超过继续登陆逻辑，判断用户名、密码是否正确，不正确密码则进行阈值的判断，若是超过则关小黑屋，记住小黑屋必须设置过时时间，要否则就会永久关上了，这个能够用redis的过时来作。
  五、登陆成功后进行后续的一切后置逻辑，好比加积分...等操做。

手机号注册登录

• 流程图
  
• 流程说明：
  一、首先输入手机号，而后发送到服务端，服务端将手机号记录在咱们数据库中，而后生成随机验证码，并将手机号和验证码绑定到一个redis里面，而后记录过时时间，这个过时时间通常是10分钟左右，这就是咱们通常手机验证码的有效期。
  二、手机接收到手机短信后，那么就在界面填写验证码发送服务端，服务端收到验证码后就会在redis里面查询到这个手机号对应的验证码，失败就返回错误码。
  成功后就进行登陆操做。
  三、这里看起来没有明确的注册登陆操做，其实在发送手机号码就能够认为是一个常规的注册，而后后面的验证码输入就是一个登录操做。

问：若是要密码怎么办？
答：在后续产品里面增长一个“手机号码密码补录的功能”便可，这也是如今很常规的手法，可是如今移动互联网大爆炸时代，密码已经显得不是那么重要了，若是手机号码能操做的 app，能够不用密码来操做。

数据库设计

表结构：

自增id	用户名	密码	手机号	错误次数
1	user1	7fef6171469e80d32c0559f88b377245	13456789012	0
2	user2	7fef6171469e80d32c0559f88b377245	13456789013	0

说明 ：
这里只是单纯说明须要用到的数据，没有扩展具体场景,这个表结构可以知足上面两个方案的设计。

引入第三方帐户方案

这里是以 QQ-SDK 的登陆逻辑， 咱们先看一下时序图：

• 说明：
  一、客户端本身调起登陆的界面，进行输入用户名、密码，这里的是第三方的用户名，密码，登陆成功后，会返回access_token openid expire_in,这过程会使用到oauth2.0，不过在sdk里面进行内置回调获取了，后面咱们会说明咱们自身实现的oauth2.0
  二、客户端拿到access_token、openid、login_type（qq、wechat...）请求应用服务器，应用服务器拿到这些数据后就会根据对应的login_type去对应的用户中心进行access_token和openid进行校验。校验不经过则返回对应错误码
  三、校验经过后就会判断本地是否有这个login_type和openid是否存在，不存在则进行获取远程的用户名、头像等基础信息来做为本地基础数据，而且返回code值
  四、若是已经存在，那就是进行登陆操做，返回code值。
  五、客户端拿到code值后进行token值的换取，这个彻底遵守oauth2.0的协议来走的，后续每次请求必须带上token，token值在服务端的时间比较久，由于咱们想要作的是那种永不下线的操做，因此每次请求咱们都将token过时时间进行累加。

数据库设计

用户基础表（users）
字段	备注
user_id	用户id
token	用户登录的token
expire_in	token过时时间
try_times	登陆失败次数

用户验证关联表（user_auth_rel）
字段	备注
id	自增id
user_id	用户id
auth_id	验证表id
auth_type	验证类型(local、third)

本地用户表（user_local_auth）
字段	备注
auth_id	认证id，自增id
user_name	用户惟一标识
password	用户密码
mobile	用户手机

第三方用户表（user_third_auth）
字段	备注
auth_id	用户id
openid	第三方用户惟一标识
login_type	第三方平台标识(qq、wechat...)
access_token	第三方获取的access_token,校验使用

• 说明
  一、users表只是单纯针对咱们业务侧的登陆，主要是作自身业务的oauth2.0业务，
  二、user_local_auth是作本身用户名、密码登陆，手机号码登陆信息记录，
  三、user_third_auth是咱们第三方用户体系的数据记录，
  四、user_auth_rel是用来关联咱们users表与user_local_auth、user_third_auth。
  五、整个设计理念就是将自建用户与第三方在存储上区分，这在架构演进上也是合乎情理的，开始用户体系大多自建，然后才是对外接入。

总结

一、总的来说，第三方用户的接入技术上来说是比较简单的，这里设计多一个user_thirds是能够支持足够多的第三方接入，固然通常咱们也就两三个登陆就好，太多登陆方不只增长自身维护成本，界面摆盘也很差看。
二、这里的设计方案不包含分表分库、没有服务化，就是简单直接的设计。