二维码登录与密码登录切换时，如何安全同步用户身份状态？

一、现象层：多登录方式并存引发的典型异常行为

• 用户扫码微信登录后，未主动退出，直接在同浏览器输入账号密码重新登录，前端仍携带旧 access_token 调用敏感接口（如 /api/user/profile）返回成功；
• 后台日志显示同一设备存在两个活跃 session_id（OAuthSession_abc123 和 PwdSession_xyz789），且归属不同用户主体（unionId ≠ userId）；
• 管理员后台查看“在线设备”列表时，该用户显示“2台在线”，但实际仅1个物理终端；
• 调用登出接口后，扫码态 token 仍可访问 /api/order/list（HTTP 200），而密码态 session 已失效；

二、机制层：身份标识与会话生命周期解耦的根本成因

核心矛盾在于：认证源（Identity Provider）与授权主体（Subject）未建立单向、可验证、不可伪造的映射关系。微信 unionId 是平台级唯一标识，而系统 userId 是业务域内逻辑主键，二者间若仅靠注册时“弱绑定”（如无签名校验的临时映射表），则：

三、架构层：分布式会话状态不一致的根源分析

当集群部署 ≥3 个 API 节点，且采用本地内存存储 OAuth token 状态时，会出现如下竞态场景：

四、治理层：统一身份中枢与强一致性会话控制方案

1. 构建 Identity Mapping Service：基于 MySQL + 唯一索引 (provider_type, provider_id) → user_id，并增加 signature 字段（HMAC-SHA256(provider_id+salt+secret)）防篡改；
2. 全局会话状态中心：使用 Redis Hash 存储 session_meta，key 为 session:{uuid}，field 包含 identity_type（oauth/pwd）、bound_to（unionId 或 userId）、version（Long 原子递增）；
3. 跨登录态自动归并策略：密码登录时，若检测到当前设备存在有效 OAuth token，则触发 bindAndInvalidate(unionId, userId)，同步吊销旧 token 并更新 version；
4. 网关层统一鉴权拦截器：校验请求 token 的 version 是否匹配 session_meta 中最新值，不匹配则返回 401 + “SESSION_CONFLICT”；

五、工程实践：关键代码片段与审计检查项

// Spring Security 自定义 AuthenticationSuccessHandler
public class UnifiedLoginSuccessHandler implements AuthenticationSuccessHandler {
  @Override
  public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse res,
      Authentication auth) throws IOException {
    String userId = extractUserId(auth);
    String identityKey = resolveIdentityKey(auth); // unionId or username
    long newVersion = sessionStateService.bindAndRotate(userId, identityKey);
    // 向前端注入新版本号 & 清除旧凭证
    res.setHeader("X-Session-Version", String.valueOf(newVersion));
    CookieUtils.removeCookie(req, res, "oauth_token");
  }
}

六、合规增强：满足等保2.0三级与GDPR身份生命周期要求

• 所有登录事件必须写入不可篡改审计链（如 Kafka + Elasticsearch + 时间戳签名）；
• OAuth token 生命周期 ≤ 15 分钟，且支持服务端实时吊销（通过 Redis ZSET 按 exp 排序扫描）；
• 用户注销操作需同步触发：DELETE FROM identity_mapping WHERE user_id = ? + PUBLISH auth:logout {userId}；
• 每季度执行自动化脚本扫描“跨 provider 绑定缺失率”，阈值 > 0.1% 触发告警；