登錄的業(yè)務(wù)邏輯

{

http:是短連接.

服務(wù)器如何判斷當(dāng)前用戶是否登錄?

// 1. 如果是即時(shí)通信類:長連接.

// 如何保證服務(wù)器跟客戶端保持長連接狀態(tài)?

// "心跳包" 用來檢測用戶是否在線!用來做長連接!

http:短連接使用token 機(jī)制來驗(yàn)證用戶安全性

// token 值: 登錄令牌! 用來判斷當(dāng)前用戶的登錄狀態(tài)!

// token 值特點(diǎn): 是一個(gè)字符串/大整數(shù),只需要保證唯一性.是服務(wù)器根據(jù)用戶的信息(賬號/密碼/身份認(rèn)證機(jī)制(電話號/身份證號/支付寶賬號/銀行卡信息)...)來生成的用于標(biāo)識(shí)用戶身份的值!

// token 值獲取:

// 當(dāng)用戶首次登錄成功之后, 服務(wù)器端就會(huì)生成一個(gè) token 值.

1.會(huì)在服務(wù)器保存token值(保存在數(shù)據(jù)庫中)

2.將這個(gè)token值返回給客戶端.

// 客戶端拿到 token 值之后,一般保存在兩個(gè)位置 :

1. 將 token 保存在 cookie 中;

2.將 token 保存在沙盒中,作為一個(gè)公共參數(shù)傳遞.

// 公共參數(shù): 每一個(gè)網(wǎng)絡(luò)請求都需要的參數(shù)! 一般公共參數(shù)有很多都是"可選"參數(shù)!,公共參數(shù)附帶的越多,越利于后臺(tái)監(jiān)測用戶,數(shù)據(jù)挖掘會(huì)使用到監(jiān)測到的數(shù)據(jù).

// 以后客戶端再次發(fā)送網(wǎng)絡(luò)請求(一般不是登錄請求)的時(shí)候,就會(huì)將這個(gè) token 值附帶到參數(shù)中發(fā)送給服務(wù)器.

// 服務(wù)器接收到客戶端的請求之后,會(huì)取出token值與保存在本地(數(shù)據(jù)庫)中的token值做對比!

// 如果兩個(gè) token 值相同 :說明用戶登錄成功過!當(dāng)前用戶處于登錄狀態(tài)!

// 如果沒有這個(gè) token 值, 沒有登錄成功.

// 如果 token 值不同: 說明原來的登錄信息已經(jīng)失效,讓用戶重新登錄.

// token 值失效問題: 1. token 值有失效時(shí)間!

{

token的有效時(shí)間:

{

1. 如果 app 是新聞?lì)?游戲類/聊天類等需要長時(shí)間用戶粘性的. 一般可以設(shè)置1年的有效時(shí)間!

2. 如果 app 是 支付類/銀行類的. 一般token只得有效時(shí)間比較短: 15分鐘左右!

}

}

// token 值失效問題: 2. token 值用來做設(shè)備唯一性登錄判斷!

{

每次登錄之后,無論用戶密碼是否改變,只要調(diào)用登錄接口并且登錄成功,都會(huì)在服務(wù)器生成新的token值,原來的token值就會(huì)失效!

典型的 app : 打車軟件類

}

拓展: 多態(tài)設(shè)備同時(shí)登錄. 設(shè)備唯一性登錄!

{

如果允許多臺(tái)設(shè)備同時(shí)登錄? ，并且可以設(shè)置最大的登錄數(shù)量的時(shí)候。比如說QQ：允許在電腦客戶端登錄，QQ手機(jī)端登錄, QQ網(wǎng)頁端登錄

如果超出這三個(gè)端 想要再另外 一個(gè)相同的端登錄，需要使對應(yīng)的端的token失效，來保證一個(gè)端 一個(gè)賬號只登錄一次。

可以設(shè)置多個(gè)token 根據(jù)登錄端不同 ，來檢測token 是否過期。 根據(jù)登錄的數(shù)量 可以判斷最大支持多少個(gè)設(shè)備同時(shí)登錄

}

}

一，OAuth2.0授權(quán)協(xié)議：

簡述：一種安全的登陸協(xié)議，用戶提交的賬戶密碼不提交到本APP，而是提交到授權(quán)服務(wù)器，待服務(wù)器確認(rèn)后，返回本APP一個(gè)訪問令牌，本APP即可用該訪問令牌訪問資源服務(wù)器的資源。由于用戶的賬號密碼并不與本APP直接交互，而是與官方服務(wù)器交互，因而它是安全的。

圖示：

流程：

1，獲取未授權(quán)的Request Token。

url:request token url。

param：appKey/appSecret，簽名方法/簽名（如HMAC-SHA1），timeStamp（時(shí)間戳：距1970/0/0/0/0/0的秒數(shù)），nonce（隨機(jī)生成的string，防止重復(fù)請求）

response：Oauth_Token/Oauth_Secret

2，獲取用戶授權(quán)的Request Token。

url:user authorizition url。

param：Oauth_Token(上個(gè)步驟返回的令牌），callback_url（授權(quán)成功后返回的地址）

response：Oauth_Token（被用戶授權(quán)或否決的令牌）

3，用已授權(quán)的Request Token換取AccessToken。

url：access token url。

param：appKey，Oauth_Token（上個(gè)步驟返回的令牌），簽名，TimeStamp，nonce

response：Access_Token/Secret

二，新浪微博的implementation（以ios sdk為例）。

1，先封裝下列參數(shù)：

NSDictionary*params = [NSMutableDictionarydictionaryWithObjectsAndKeys:

self.appKey,@"client_id",

@"code",@"response_type",

self.appRedirectURI,@"redirect_uri",

@"mobile",@"display",nil];

appKey和AppSecret在申請第三方APP的時(shí)候即可得到。appRedirectURI只對網(wǎng)頁應(yīng)用有效，所以這里可以隨便填一個(gè)或者使用默認(rèn)的。

response_type為code表面其希望返回的是一個(gè)授權(quán)碼（相當(dāng)于上述的未授權(quán)的Request Token）。

display應(yīng)該是指該請求是移動(dòng)app的請求。

然后啟動(dòng)一個(gè)WebView，請求url：https://open.weibo.cn/2/oauth2/authorize，帶上述參數(shù)，方法為get。

形成的url如：https://open.weibo.cn/2/oauth2/authorize？client_id=1213792051&response_type=code&

redirect_uri=https%3A%2F%2Fapi.weibo.com%2Foauth2%2Fdefault.html&display=mobile

接著就進(jìn)入了要求輸入賬號密碼的頁面

輸入賬號密碼后,以post方式往https://open.weibo.cn/2/oauth2/authorize發(fā)送請求

出現(xiàn)授權(quán)或請求的按鈕，至此完成第一部分。

疑問：協(xié)議中的未授權(quán)的request token在這里是哪個(gè)實(shí)體？還是新浪把它弱化掉了，也可能是緩存在webview中。

2，點(diǎn)擊授權(quán)按鈕之后，就可以得到Authorization Code了，該授權(quán)碼相當(dāng)于以授權(quán)的Request Token。

3，封裝參數(shù)

NSDictionary*params = [NSDictionarydictionaryWithObjectsAndKeys:

self.appKey,@"client_id",

self.appSecret,@"client_secret",

@"authorization_code",@"grant_type",

self.appRedirectURI,@"redirect_uri",

code,@"code",nil];

請求url：https://open.weibo.cn/2/oauth2/access_token，方法post，加上述參數(shù)，通過NSURLConnection發(fā)送請求

返回的data就包含access token，當(dāng)然會(huì)判斷下該token是否還合法，有效，過期，成功的話會(huì)save住下面4個(gè)字段。

NSString*access_token = [authInfoobjectForKey:@"access_token"];

NSString*uid = [authInfoobjectForKey:@"uid"];

NSString*remind_in = [authInfoobjectForKey:@"remind_in"];

NSString*refresh_token = [authInfoobjectForKey:@"refresh_token"];

4，以后在請求資源時(shí)，就會(huì)加上access_token了。

三，SSO技術(shù)。

簡述：SSO全場Single Sign

On,用戶只需登陸一次即可訪問相互信任的子系統(tǒng)。用戶訪問系統(tǒng)1時(shí)，登陸成功后會(huì)返回一個(gè)ticket,當(dāng)用戶訪問系統(tǒng)2時(shí)，會(huì)把ticket帶上，待

驗(yàn)證合法后即可訪問系統(tǒng)2。聽起來跟cookie有點(diǎn)像，沒錯(cuò)，Web-SSO便有基于cookie的實(shí)現(xiàn)方案。很多手機(jī)APP在點(diǎn)擊新浪授權(quán)時(shí)，會(huì)跳到

新浪客戶端的登陸頁面，這里就用到SSO技術(shù)啦。

在本APP授權(quán)新浪微博時(shí)，會(huì)先檢測手機(jī)是否安裝了新浪微博客戶端。

[[UIApplicationsharedApplication]openURL：xxx]可以打開另一個(gè)APP。這里sinaweibosso://login為客戶端的url并傳遞三個(gè)參數(shù)，AppKey，RedirectURI，ssoCallbackScheme。

ssoCallbackScheme是返回的App Url地址，即自己定義的sinaweibosso.appKey。

登陸成功后，客戶端會(huì)直接把AccessToken返回給本App。至于在客戶端那邊發(fā)生了哪些交互，暫時(shí)不得而知。