以下是使用 Mermaid 语法绘制的验证码登录流程图，展示了从生成验证码到验证的完整流程： ```mermaid graph TD A[用户请求验证码] --> B[服务端生成验证码] B --> C[哈希加密存储到数据库] C --> D[调用短信平台API发送验证码] D --> E[用户收到短信并输入验证码] E --> F[服务端验证验证码] F -->|验证成功| G[标记为已使用] G --> H[登录成功] F -->|验证失败| I[返回错误信息] I --> J[用户重新尝试或重新发送验证码] style A fill:#f9f,stroke:#333 style H fill:#cfc,stroke:#333 style I fill:#fcc,stroke:#333 ``` --- ### 🔍 **流程说明** 1. **用户请求验证码** - 用户点击“发送验证码”按钮，触发请求。 2. **服务端生成验证码** - 使用安全随机数生成器（如 `secrets` 模块）生成 6 位数字验证码。 3. **哈希加密存储到数据库** - 验证码使用 SHA-256 等哈希算法加密后存储，防止明文泄露。 - 同时记录过期时间（如 5 分钟后）和使用状态。 4. **调用短信平台 API 发送验证码** - 服务端调用短信平台（如阿里云、Twilio）发送验证码。 - 使用 HTTPS 加密传输，防止中间人窃取。 5. **用户收到短信并输入验证码** - 用户在前端输入收到的验证码。 6. **服务端验证验证码** - 对用户输入的验证码进行哈希加密，与数据库中的哈希值比对。 - 检查验证码是否过期、是否已被使用。 7. **验证成功 → 标记为已使用 → 登录成功** - 验证成功后，标记验证码为已使用，防止复用。 - 返回登录成功状态，用户进入系统。 8. **验证失败 → 返回错误信息** - 验证失败时返回错误信息（如“验证码错误”或“已过期”）。 - 用户可重新尝试或重新发送验证码。 --- ### 🛡️ **安全与一致性保障** | 环节 | 安全措施 | |------|----------| | **生成** | 使用 `secrets` 模块生成随机验证码 | | **存储** | 使用 SHA-256 哈希加密存储，防止泄露 | | **发送** | HTTPS 加密传输，防止中间人攻击 | | **验证** | 哈希比对 + 时效性检查 + 使用状态检查 | | **防护** | 限流（如 1 分钟最多发送 1 次）、防暴力破解 | --- ### 📌 **Mermaid 图形说明** - **节点颜色**： - 粉色（#f9f）：用户操作 - 绿色（#cfc）：成功路径 - 红色（#fcc）：失败路径 - **箭头方向**：从左到右（`graph TD` 表示从上到下，若需从左到右可改为 `graph LR`） --- ### ✅ **总结** 该流程图清晰展示了验证码登录的完整流程，包括生成、存储、发送、输入、验证等关键步骤，并通过颜色区分成功与失败路径，帮助开发者理解整个流程的逻辑与安全性保障。 你可以将上述代码粘贴到支持 Mermaid 的编辑器（如 [Mermaid Live Editor](https://mermaid.live/edit)）中查看图形效果。