WebApi 如何实现二维码过期?

把二维码指向的链接加上时间戳，然后链接的请求接口进行控制，业务逻辑上，将请求过来的时间戳进行分析，然后判断时间区间，然后就可以设置过期时间了

延迟队列？时间轮？

肯定是带 token 后台判断拉. 这种不是很简单吗

只要请求的时间戳大于链接生成时的时间戳比如 5 分钟，就判断为过期

再加上定位 完美解决拍照二维码给别人扫签到

两个简单思路，应该还有其他的
1. 字串是动态的，隐含时间信息
2. 生成的图片是有时效的
应该第一个更广泛，甚至可以客户端判断失效，无需传到服务器端才判断，反正跟身份验证器的数字一个意思

@emeab 原来如此！哥哥好聪明，根据 token 直接就知道是谁扫的二维码了，防止别人扫了，好厉害！

招一个人坐在那边对着表格看是不是过期

@telung 噗嗤，这种人力劳动好可爱

之前想过这个问题，直播（ Zoom，腾讯会议）可以绕过一切只靠时间判断的检测

@hjosama 我的说的 token 和你说的时间戳是一个意思.

但是时间戳太容易被生成了. 所以建议后台维护一个短期 token. 来判断.

`为了防止拍照二维码给别人扫签到`这个需求我想起来一个叫“猫途校园的小程序”，每个人自己生成一个二维码，已经签到的人 A 扫 B 的二维码可以让 B 也签到。

@emeab 感觉这样还是好麻烦呢，不让别人扫的话，进行身份校验不是更快吗

@emeab 目前我也是打算后台存个短期 token 判断，但是不知道大概设置多久的有效期？ 5s 30s?时间长了还是会被拍照扫吧。。

@cobyx 那就再加上用户识别 + 定位

定位 + token + 隐藏水印（拍照后不显示那种）

@emeab 目前就这样吧，加定位的话改的太多了，谢谢

这种情况完全用不着后台存 token，担心时间戳被攻破可以加密一下再集成到 URL 里（许多库是做这个的（ Python 有 itsdangerous ）），验证过期时，直接解密除时间然后算与当前时间的 diff 就行。嫌加解密自己实现麻烦的话，使用 JWT

二维码就是个网址，网址带一个参数（叫做 token 也行，ticket 也罢），然后这个参数，后台做记录，扩展出创建时间之类的，访问网址就通过扩展信息去判断