登錄的業務邏輯
{
http:是短連接.
服務器如何判斷當前用戶是否登錄?
// 1. 如果是即時通信類:長連接.
// 如何保證服務器跟客戶端保持長連接狀態?
// "心跳包" 用來檢測用戶是否在線!用來做長連接!
http:短連接使用token 機制來驗證用戶安全性
// token 值: 登錄令牌! 用來判斷當前用戶的登錄狀態!
// token 值特點: 是一個字符串/大整數,只需要保證唯一性.是服務器根據用戶的信息(賬號/密碼/身份認證機制(電話號/身份證號/支付寶賬號/銀行卡信息)...)來生成的用於標識用戶身份的值!
// token 值獲取:
// 當用戶首次登錄成功之后, 服務器端就會生成一個 token 值.
1.會在服務器保存token值(保存在數據庫中)
2.將這個token值返回給客戶端.
// 客戶端拿到 token 值之后,一般保存在兩個位置 :
1. 將 token 保存在 cookie 中;
2.將 token 保存在沙盒中,作為一個公共參數傳遞.
// 公共參數: 每一個網絡請求都需要的參數! 一般公共參數有很多都是"可選"參數!,公共參數附帶的越多,越利於后台監測用戶,數據挖掘會使用到監測到的數據.
// 以后客戶端再次發送網絡請求(一般不是登錄請求)的時候,就會將這個 token 值附帶到參數中發送給服務器.
// 服務器接收到客戶端的請求之后,會取出token值與保存在本地(數據庫)中的token值做對比!
// 如果兩個 token 值相同 :說明用戶登錄成功過!當前用戶處於登錄狀態!
// 如果沒有這個 token 值, 沒有登錄成功.
// 如果 token 值不同: 說明原來的登錄信息已經失效,讓用戶重新登錄.
// token 值失效問題: 1. token 值有失效時間!
{
token的有效時間:
{
1. 如果 app 是新聞類/游戲類/聊天類等需要長時間用戶粘性的. 一般可以設置1年的有效時間!
2. 如果 app 是 支付類/銀行類的. 一般token只得有效時間比較短: 15分鍾左右!
}
}
// token 值失效問題: 2. token 值用來做設備唯一性登錄判斷!
{
每次登錄之后,無論用戶密碼是否改變,只要調用登錄接口並且登錄成功,都會在服務器生成新的token值,原來的token值就會失效!
典型的 app : 打車軟件類
}
拓展: 多態設備同時登錄. 設備唯一性登錄!
{
如果允許多台設備同時登錄 ,並且可以設置最大的登錄數量的時候。比如說QQ:允許在電腦客戶端登錄,QQ手機端登錄, QQ網頁端登錄
如果超出這三個端 想要再另外 一個相同的端登錄,需要使對應的端的token失效,來保證一個端 一個賬號只登錄一次。
可以設置多個token 根據登錄端不同 ,來檢測token 是否過期。 根據登錄的數量 可以判斷最大支持多少個設備同時登錄
}
}
一,OAuth2.0授權協議:
簡述:一種安全的登陸協議,用戶提交的賬戶密碼不提交到本APP,而是提交到授權服務器,待服務器確認后,返回本APP一個訪問令牌,本APP即可用該訪問令牌訪問資源服務器的資源。由於用戶的賬號密碼並不與本APP直接交互,而是與官方服務器交互,因而它是安全的。
圖示:
流程:
1,獲取未授權的Request Token。
url:request token url。
param:appKey/appSecret,簽名方法/簽名(如HMAC-SHA1),timeStamp(時間戳:距1970/0/0/0/0/0的秒數),nonce(隨機生成的string,防止重復請求)
response:Oauth_Token/Oauth_Secret
2,獲取用戶授權的Request Token。
url:user authorizition url。
param:Oauth_Token(上個步驟返回的令牌),callback_url(授權成功后返回的地址)
response:Oauth_Token(被用戶授權或否決的令牌)
3,用已授權的Request Token換取AccessToken。
url:access token url。
param:appKey,Oauth_Token(上個步驟返回的令牌),簽名,TimeStamp,nonce
response:Access_Token/Secret
二,新浪微博的implementation(以ios sdk為例)。
1,先封裝下列參數:
NSDictionary *params = [NSMutableDictionarydictionaryWithObjectsAndKeys:
self.appKey, @"client_id",
@"code", @"response_type",
self.appRedirectURI, @"redirect_uri",
@"mobile", @"display", nil];
appKey和AppSecret在申請第三方APP的時候即可得到。appRedirectURI只對網頁應用有效,所以這里可以隨便填一個或者使用默認的。
response_type為code表面其希望返回的是一個授權碼(相當於上述的未授權的Request Token)。
display應該是指該請求是移動app的請求。
然后啟動一個WebView,請求url:https://open.weibo.cn/2/oauth2/authorize,帶上述參數,方法為get。
形成的url如:https://open.weibo.cn/2/oauth2/authorize?client_id=1213792051&response_type=code&
redirect_uri=https%3A%2F%2Fapi.weibo.com%2Foauth2%2Fdefault.html&display=mobile
接着就進入了要求輸入賬號密碼的頁面
輸入賬號密碼后,以post方式往https://open.weibo.cn/2/oauth2/authorize發送請求
出現授權或請求的按鈕,至此完成第一部分。
疑問:協議中的未授權的request token在這里是哪個實體?還是新浪把它弱化掉了,也可能是緩存在webview中。
2,點擊授權按鈕之后,就可以得到Authorization Code了,該授權碼相當於以授權的Request Token。
3,封裝參數
NSDictionary *params = [NSDictionarydictionaryWithObjectsAndKeys:
self.appKey, @"client_id",
self.appSecret, @"client_secret",
@"authorization_code", @"grant_type",
self.appRedirectURI, @"redirect_uri",
code, @"code", nil];
請求url:https://open.weibo.cn/2/oauth2/access_token,方法post,加上述參數,通過NSURLConnection發送請求
返回的data就包含access token,當然會判斷下該token是否還合法,有效,過期,成功的話會save住下面4個字段。
NSString *access_token = [authInfo objectForKey:@"access_token"];
NSString *uid = [authInfo objectForKey:@"uid"];
NSString *remind_in = [authInfo objectForKey:@"remind_in"];
NSString *refresh_token = [authInfo objectForKey:@"refresh_token"];
4,以后在請求資源時,就會加上access_token了。
三,SSO技術。
簡述:SSO全場Single Sign On,用戶只需登陸一次即可訪問相互信任的子系統。用戶訪問系統1時,登陸成功后會返回一個ticket,當用戶訪問系統2時,會把ticket帶上,待驗證合法后即可訪問系統2。聽起來跟cookie有點像,沒錯,Web-SSO便有基於cookie的實現方案。很多手機APP在點擊新浪授權時,會跳到新浪客戶端的登陸頁面,這里就用到SSO技術啦。
在本APP授權新浪微博時,會先檢測手機是否安裝了新浪微博客戶端。
[[UIApplicationsharedApplication] openURL:xxx]可以打開另一個APP。這里sinaweibosso://login為客戶端的url並傳遞三個參數,AppKey,RedirectURI,ssoCallbackScheme。
ssoCallbackScheme是返回的App Url地址,即自己定義的sinaweibosso.appKey。
登陸成功后,客戶端會直接把AccessToken返回給本App。至於在客戶端那邊發生了哪些交互,暫時不得而知。