二维码识别完全指南：扫描原理 / 防伪 / 反钓鱼

1. 定位：扫描仪首先找到三个角落的定位框（Position Detection Pattern）——左上、右上、左下各一个。这三个黑白方块的图案独特，扫描器通过识别这个特征定位整个二维码的方向和位置。

1. 网格化：确定了四个角后，把二维码分成 21×21 到 177×177 的网格（版本 1-40）。网格越密集，容量越大（最多 2953 字节）。

1. 版本与格式识别：读取版本信息和格式信息。版本决定网格大小，格式信息包含纠错等级（L/M/Q/H）和掩膜模式，这些是数据解码的前提。

1. 数据提取与去掩膜：扫描器按特定顺序读取数据区域的黑白点，然后根据掩膜模式（8 种）还原原始数据。掩膜是为了避免大片纯黑或纯白区域导致扫描困难。

1. 纠错与解码：用 Reed-Solomon 错误纠正码修复扫描过程中的失误（受纠错等级影响），最后用指定的字符集解码成可读文本。即使有 30% 的码字损坏，高纠错等级仍能恢复。

二维码内部有大量冗余数据，用 Reed-Solomon 码来抵御损坏。四个等级对应不同恢复能力：

• L（Low）：能纠正约 7% 的数据损伤。容量最大，适合清晰环境。
• M（Medium）：约 15%。平衡容量与容错，最常用。
• Q（Quartile）：约 25%。高可靠性。
• H（High）：约 30%。极端条件下使用，如印在工业零件、脏污表面。

选错等级的后果很严重。假设你生成的二维码用 L 级，印在包装盒上被磨损了 10%，那就无法扫描。而用 H 级，即使 30% 的码字损坏，扫描器仍能恢复全部数据。代价是容量变小——同样数据量，H 级二维码比 L 级大。

本地识别（浏览器 JavaScript）：优点是隐私安全，图像不上传到任何服务器；离线可用；实时反馈无网络延迟。缺点是识别库体积大（ZXing 编译到 JS 后约 200KB），复杂二维码识别速度可能慢于服务器。技术包括 ZXing（零依赖 JavaScript 版）、OpenCV.js、html5-qrcode 库。

在线 API（发送到服务器）：优点是识别准确率高；支持复杂场景（畸变、模糊、部分遮挡）；库体积小。缺点是隐私风险（图像上传）；需要网络；服务稳定性依赖供应商。技术包括 Google Vision API、Cloudflare Workers API、OpenCV 服务端。

建议：钱包截图、身份证、商业机密相关的二维码必须本地识别；普通场景可用在线 API 换取更高准确率。

普通二维码没有防伪机制。任何人都能生成看起来完全相同的二维码，指向恶意链接。防伪的核心是数字签名。完整过程是：（1）原厂颁发私钥给授权的二维码生成者（如包装厂、物流商）。（2）签名：把二维码的真实数据（商品 ID、序列号、生产日期）用私钥签名，得到一个短的加密哈希值，追加到二维码中。（3）扫描验证：消费者扫码后，系统用原厂公钥验证签名。如果签名匹配，说明数据未被篡改且确来自原厂；如果不匹配或缺失，说明是山寨货。真实例子：茅台酒的防伪二维码，扫描后直接连到官方验证服务器，系统同时验证签名合法性和序列号的生产记录关联性。假酒的二维码要么根本没有有效签名，要么签名验证失败，要么指向钓鱼网站。

二维码的风险在于隐蔽性：你看不到链接，直到扫描后才知道去哪。攻击者利用这点传播恶意软件、钓鱼网站、勒索软件。防护建议：

1. 问信息来源：如果二维码来自陌生人、地摊、停车场的小纸条，99% 概率有问题。
2. 不扫来路不明的码：特别是停车费、共享单车押金相关的码，很容易被替换。
3. 扫码后检查 URL：一些手机浏览器会显示真实链接，进入前核对是否官方域名。假冒 https://appple.com 或 https://wechat-pay.com 的都是钓鱼。
4. 用专业工具先解码：本站「二维码识别」工具可以先解码出链接内容，再决定是否真的点击。
5. 二维码扫描仪 vs 内置相机：用独立的安全扫描器（如 Kaspersky QR Scanner），而不是微信扫一扫。