学无止境

-------至弱即为至强!

导航

这两天对SSO的认识

Posted on 2005-11-16 14:03  赵国亮  阅读(350)  评论(0编辑  收藏  举报

网站点播流程


一、对SSO基本的理解
 
  用户在CP网站点播某项信息,不管是什么信息,都是按条计费的。只有用户成功

登陆中央SSO平台,才能够看到或者收到这条信息。

       对于网站来讲,这种信息主要有两种:
      
       一种是短信、铃声、彩信类,这类信息通常都是需要CP最终发送到用户的手机上;

       另外一种,是网站本身的收费内容。如果不考虑手机收费的话,网站通常的做法就是

建立一个会员系统,用户只有成为会员并且成功登陆之后才能够看到这部分信息。 而一个

会员是否登陆,这种状态一般都是记录在客户端的Cookie当中。


       所以,针对以上两种信息,在升级到SSO平台的时候可以采用不同的做法。

       联丰提供的CP向SP通信的Web地址格式为:

http://211.154.45.40:8080/weborder/webpush.aspx?mobile=13601291695&svid=0660D0050I&cpuid=CP660&item=webxz&action=10&backurl=&DeliverURL=

       相应的参数的意思为:
      
       mobile 用户的手机号码,也就是要从这个号码中扣钱

       svid     是业务代码,这个业务代码是移动规定的。一个业务代码最基本的属性就是价格,如果是包月的可能还有限制的

条数等等。
                 不过在联丰主页上有个自写短信,那里面的svid=yy, 感觉这个yy不应该是移动那边规定的,而是联丰在向移动

请求的
   时候,把这个yy在内部又转换成了移动规定的那个业务代码,这样理解不知道对不对?

       cpuid   刚开始的时候,我总是念 cpu----id,后来慢慢的改过来了,应该是cp---uid吧。
       item    这个参数很重要,也很有用。当用户通过SSO验证以后,sp会给cp一个上行信息MO,而这个信息的内容就是item的

值。
       action  action=10的时候,就说明是网站点播
       backurl  这个参数也比较有用,就是通过SSO验证以后,自动返回backurl指定的页面。

 

二、下面就是我的做法了:

       1、如果用户只要求发送某条信息到他们的手机上,通常这种信息都不会很长,毕竟是要发送到手机上的。那么在网站上可

以这样写:


        send.jsp

 <%
 String

strUrl="http://211.154.45.40:8080/weborder/webpush.aspx?mobile=&svid=0660D0050I&cpuid=CP660&action=10&backurl=&Deli

verURL=&item=web";
 strUrl = strUrl + "你好我好大家好"; //这个内容就是变化的
 %>
       <a href="<%=strUrl%>" target="_blank">你好我好大家好</a>

      这样当用户提交的时候,自动弹出一个窗口进行SSO登陆,如果成功以后SP就会发送一个上行信息给我们,信息的内容就是“

web你好我好大家好”。

      那么,我们就可以接收此信息,相关代码如下:
     
      receive.jsp

      <%
      String strPhone=request.getParameter("phone");
      String strMessage = request.getParameter("message");    
      %>
       这样,我们就可以判断message,左边三位是否是web,如果是的话,就把后边的信息发给那个手机,同时在这个过程中也就

扣钱了。


       2、如果用户要看的是网站的收费信息的话,因为最终是要用户能够下载这个资料,大致的步骤是

       用户---〉CP网站看到内容,点击连接----->SSO平台验证------>通过之后,自动提示用户保存该文件

       所以,与上面的步骤相比,在经过sso之后,又返回来了,这里就需要backurl参数了。

       我做了个测试,假设我们在backurl中指定的地址为 http://www.cqq.com/down.asp?id=200
      
       在经过SSO之后,SP返回来的地址是这样的

      

http://www.cqq.com/down.asp?id=200?result=0&item=baomi4&mobile=13552036990&svid=0660D0050I&action=10&cpuid=CP660

       也就是说在我们的backurl地址后面还跟了一些返回参数,这里有个result,这个参数的意思是登陆状态吧,

       0表示登陆成功了,如果为其他数值则表示发生了错误,比如result=1 或者 2 ,具体发生了什么错误

       我们并不知道,不过也没有必要关心。

       所以,在我们的down.asp程序中,就可以通过result的值作为是否成功登陆的标志,程序大致如下:

       <%
       If request("result")="0" Then

      '表示通过,找到相应的文件,提示用户下载
      Response.Redirect request("id") & ".zip"
       Else
             Response.write "对不起,您没有通过验证"
       End If      
       %>
 
       但是不要忘记了,这时候SP仍然会给我们发过来一个MO信息,我们接到这个上行信息之后,必须还要给用户

       发送一个下行信息,这样才能够真正的从用户手机当中扣钱了。

 


三、 存在的问题

1、SSO登陆是依赖于客户端Cookie的,所以如果客户端禁止了Cookie的话,就无法正常工作;

2、如果客户端浏览器安装了一些浏览器插件,比如google toolbar,3721上网助手之类的,就导致

     在SSO上成功登陆以后,浏览器没有自动关闭,那就更别提返回到backurl那个页面了。

3、在SSO验证通过,弹出的窗口中,梦网会嵌套一个广告,可能导致这个页面下载的时间比较长,

     IE下边状态栏里还在提示正在下载。 此时页面上已经出现了,关闭按钮,可是如果没有等这个

     页面完全下载完的话,你就点击这个关闭按钮的话,父窗口并没有返回backurl地址,而是什么

     都没有变化。  我试过好多次都是这样,不知道是不是bug。

4、一个安全问题,我还不是很清楚该怎么做。

     就是,我在上面说过,如果我网站中的资料是收费的,用户只有通过SSO登陆以后,才能够

     下载我的资料。上面的例子就是这么做的,可是在理论上存在一个很大的漏洞,那就是

     我的网站根本没有办法共享用户在梦网的登陆状态。我只能通过SSO返回的值进行判断,

     不管是backurl的值还是Item的值,都是可以被用户捕获的。

     我们再看看上面的例子,我的down.asp页面大致如下:

      down.asp
     
      <%
       If request("result")="0" Then
      '表示通过,找到相应的文件,提示用户下载
      Response.Redirect request("id") & ".zip"
       Else
             Response.write "对不起,您没有通过验证"
       End If      
       %>

      在这种情况下,用户完全可以通过直接在down.asp后面加参数来访问,也就是down.asp?result=0

      所以,还是要依赖于sp发回来的上行信息,也就是我们定义的Item,

      可是我们的接收程序如何与down.asp程序通信,也是很麻烦的一件事情

      我想到的办法,就是加一个中间数据,不管是保存在文本文件中,还是保存在数据库中都是一样的

      当我们接收到SP上行之后,就给这个用户复制一个标志数据过去,然后在

      down.asp中,判断是否存在这个标志数据,如果存在的话就下载,不存在的话就说明

      没有通过,下载完之后,down.asp程序再将那个标志数据删掉。


      不过这里又出现一个问题,就是浏览器返回backurl地址和我们接收到SP的上行信息,哪个快?

如果,我们接收程序还没有来得及写标志数据,前边浏览器已经返回backurl了,那怎么办?

这种办法可能也会出现其他的同步问题,没有细想。