如何设计用户登录

廖雪峰的官方网站 2015-07-23 13:43:49 累计浏览 6,643 次

本机暂存

标签 JWT OAuth 安全数据库

内容概览

这篇讲的是如何设计一个灵活可扩展的用户登录系统。作者从最常见的用户名+密码登录入手，指出当需要集成微博、QQ等第三方登录时，传统做法——在Users表中不断新增列来存储OAuth信息——会导致表结构日益臃肿，维护成本很高。

核心解决方案是将“用户资料”与“认证信息”进行分离。具体来说，将Users表精简为只存放用户个人资料（Profile）；而将登录认证（Authentication）过程独立出来。本地密码登录维护一个LocalAuth表，而微博、QQ等第三方OAuth登录则统一到一个OAuth表中，通过`oauth_name`字段区分不同来源。

这种设计的好处显而易见：添加新的登录方式（如SAML）只需新增记录或表，无需改动用户主表；一个用户可以绑定多种登录方式；同时，由于Users表不再存放口令等敏感数据，系统安全性也得到了提升。

在Web系统中，用户登录是最基本的功能。要实现用户名+密码登录，很多同学的第一想法就是直接创建一个Users表，包含username和password两列，这样，就可以实现登录了：

 id | username | password | name等其他字段
----+----------+----------+----------------
 A1 | bob      | a1b23f2c | ...
 A2 | adam     | c0932f32 | ...

现在问题来了，如果要让用户通过第三方登录，比如微博登录或QQ登录，怎么集成进来呢？

以微博登录为例，由于微博使用OAuth2协议登录，所以，一个登录用户会包含他的微博身份的ID，一个Access Token用于代表该用户访问微博的API和一个过期时间。

要集成微博登录，很多童鞋立刻想到把Users表扩展几列，记录下微博的信息：

 id | username | password | weibo_id | weibo_access_token | weibo_expires | name等其他字段
----+----------+----------+----------+--------------------+---------------+----------------
 A1 | bob      | a1b23f2c | W-012345 | xxxxxxxxxx         | 604800        | ...
 A2 | adam     | c0932f32 | W-234567 | xxxxxxxxxx         | 604800        | ...

加一个QQ登录Users表就又需要加3列，如果这么扩展下去，改表都得累死，不要说维护代码了。

那怎么才能设计出灵活的登录呢？

不妨换个角度考虑用户登录。当用户以任意一种方式登录成功后，我们读取到的总是Users表对应的一行记录，它实际上是用户的个人资料(Profile)，而登录过程只是为了认证用户(Authenticate)，无论是本地用密码验证，还是委托第三方登录，这个过程本质上都是认证。

所以，如果把Profile和Authenticate分开，就十分容易理解了。Users表本身只存储用户的Profile：

 id | name | birth等其他字段
----+------+-----------------
 A1 | Bob  |  ...
 A2 | Adam | ...

而通过用户名口令登录可视为一种Authenticate的方式，利用LocalAuth表维护：

 id | user_id | username | password
----+---------+----------+-----------
 01 | A1      | bob      | a1b23f2c
 02 | A2      | adam     | c0932f32

通过微博登录可视为另一种Authenticate方式，利用OAuth表维护：

 id | user_id | weibo_id | weibo_access_token | weibo_expires
----+---------+----------+--------------------+---------------
 11 | A1      | W-012345 | xxxxxxxxxx         | 604800
 12 | A2      | W-234567 | xxxxxxxxxx         | 604800

如果要添加另一种OAuth登录，比如QQ登录，增加一个表就可以了。不过既然大家都是OAuth家族的，不如统一到一个表，给每家起个名字区分就好了：

 id | user_id | oauth_name | oauth_id | oauth_access_token | oauth_expires
----+---------+------------+----------+--------------------+---------------
 11 | A1      | weibo      | W-012345 | xxxxxxxxxx         | 604800
 12 | A2      | weibo      | W-234567 | xxxxxxxxxx         | 604800
 13 | A1      | qq         | Q-090807 | xxx-xxx-xxx        | 86400
 14 | A2      | qq         | Q-807060 | xxx-xxx-xxx        | 86400

如果要增加一种新的登录方式，比如SAML，那就再加一种类型的表。

每一种X-Auth表都存储了用户的登录认证信息，并通过user_id关联到Users表。这样一来，不但登录过程简化了，而且一个用户可以使用多种方式登录。只要登录成功，拿到了user_id，最后读取Users表是为了获得用户的Profile，这样读出来的数据也更安全，因为Users表不包含用户口令，不会因为暴露API而不小心把口令给泄露出去。

同分类推荐文章

等了十年的 Go 链式管道，终于来了：seq 让你像写 Scala 一样写 Go （2026-06-25 18:38:18）
Go 实验特性详解（2026-06-21 10:05:27）
amd64 微架构级别对 Go 程序性能提升多少？（2026-06-21 09:38:49）

查看更多后端文章 →

建议继续学习

微信扫码登录网页实现原理（累计阅读 17,466）
Facebook 网站架构（累计阅读 11,112）
初探单点登录 SSO （累计阅读 10,618）
腾讯php程序员面试题目答案（累计阅读 8,973）
别得瑟了，你很可悲！（累计阅读 7,916）
分布式系统的事务处理（累计阅读 7,383）
PHP Extension开发基础（累计阅读 6,643）
你会做Web上的用户登录功能吗？（累计阅读 6,376）
MySQL 5.6 测试之 Replication(主从复制) （累计阅读 6,268）
13 Linux的致命命令（累计阅读 6,175）