php实现扫码登录

PHP 实现扫码登录的方案

扫码登录通常基于以下流程：用户访问网页生成二维码（含唯一标识），手机扫码后确认登录，服务器验证并完成登录状态同步。以下是具体实现方法：

生成二维码与唯一标识

使用 PHP 生成唯一令牌（Token）并嵌入二维码。推荐使用 ramsey/uuid 生成 UUID 或自定义随机字符串：

use Ramsey\Uuid\Uuid;
$token = Uuid::uuid4()->toString(); // 生成唯一令牌

调用二维码生成 API（如 Google Charts API）生成二维码图片：

$qrCodeUrl = 'https://chart.googleapis.com/chart?cht=qr&chs=300x300&chl=' . urlencode("login:{$token}");
echo "<img src='{$qrCodeUrl}' alt='Scan to Login'>";

建立轮询机制

前端通过 JavaScript 定期轮询服务器，检查令牌状态（是否已被手机端确认）：

// 前端轮询代码示例
function checkLoginStatus(token) {
    fetch(`/check_login.php?token=${token}`)
        .then(response => response.json())
        .then(data => {
            if (data.status === 'confirmed') {
                window.location.href = '/dashboard.php'; // 登录成功跳转
            }
        });
}
setInterval(() => checkLoginStatus(token), 3000); // 每3秒检查一次

处理手机端确认

手机端扫码后发送确认请求到服务器。PHP 接收请求并更新令牌状态：

// mobile_confirm.php 示例
$token = $_POST['token'];
$userId = $_POST['user_id']; // 手机端用户ID

// 存储到数据库或缓存（如Redis）
$redis->set("login_token:{$token}", $userId, 600); // 10分钟过期

验证登录状态

check_login.php 检查令牌是否有效并返回状态：

$token = $_GET['token'];
$userId = $redis->get("login_token:{$token}");

if ($userId) {
    echo json_encode(['status' => 'confirmed', 'user_id' => $userId]);
    // 可选：清除已使用的令牌
    $redis->del("login_token:{$token}");
} else {
    echo json_encode(['status' => 'pending']);
}

安全增强措施

• 短期有效期：令牌设置 5-10 分钟过期时间，避免长期暴露。
• HTTPS 加密：确保所有通信通过 HTTPS 传输。
• 防伪造：令牌绑定 IP 或 User-Agent 进行二次验证。
• 限流：限制同一 IP 的轮询频率，防止暴力请求。

可选扩展功能

• WebSocket 替代轮询：使用 Pusher 或 Swoole 实现实时状态推送。
• 多端同步：通过广播机制通知其他设备登录状态变更。

通过以上步骤，可实现完整的 PHP 扫码登录流程。实际部署时需根据框架（如 Laravel、Symfony）调整代码结构。