摘录一篇 这两天对SSO的认识

这两天对SSO的认识

作者：game.19xz 来源：19xz.com

网站点播流程

一、对SSO基本的理解
 
  用户在CP网站点播某项信息，不管是什么信息，都是按条计费的。只有用户成功

登陆中央SSO平台，才能够看到或者收到这条信息。

       对于网站来讲，这种信息主要有两种：
      
       一种是短信、铃声、彩信类，这类信息通常都是需要CP最终发送到用户的手机上；

       另外一种，是网站本身的收费内容。如果不考虑手机收费的话，网站通常的做法就是

建立一个会员系统，用户只有成为会员并且成功登陆之后才能够看到这部分信息。 而一个

会员是否登陆，这种状态一般都是记录在客户端的Cookie当中。

       所以，针对以上两种信息，在升级到SSO平台的时候可以采用不同的做法。

       联丰提供的CP向SP通信的Web地址格式为：
      
      

http://211.154.45.40:8080/weborder/webpush.aspx?mobile=13601291695&svid=0660D0050I&cpuid=CP660&item=webxz&action=10

&backurl=&DeliverURL=

       相应的参数的意思为：
      
       mobile 用户的手机号码，也就是要从这个号码中扣钱

       svid     是业务代码，这个业务代码是移动规定的。一个业务代码最基本的属性就是价格，如果是包月的可能还有限制的

条数等等。
                 不过在联丰主页上有个自写短信，那里面的svid=yy， 感觉这个yy不应该是移动那边规定的，而是联丰在向移动

请求的
   时候，把这个yy在内部又转换成了移动规定的那个业务代码，这样理解不知道对不对？

       cpuid   刚开始的时候，我总是念 cpu----id，后来慢慢的改过来了，应该是cp---uid吧。
       item    这个参数很重要，也很有用。当用户通过SSO验证以后，sp会给cp一个上行信息MO，而这个信息的内容就是item的

值。
       action  action=10的时候，就说明是网站点播
       backurl  这个参数也比较有用，就是通过SSO验证以后，自动返回backurl指定的页面。

 

二、下面就是我的做法了：

       1、如果用户只要求发送某条信息到他们的手机上，通常这种信息都不会很长，毕竟是要发送到手机上的。那么在网站上可

以这样写：

        send.jsp

 <%
 String

strUrl="http://211.154.45.40:8080/weborder/webpush.aspx?mobile=&svid=0660D0050I&cpuid=CP660&action=10&backurl=&Deli

verURL=&item=web";
 strUrl = strUrl + "你好我好大家好"; //这个内容就是变化的
 %>
       <a href="<%=strUrl%>" target="_blank">你好我好大家好</a>

      这样当用户提交的时候，自动弹出一个窗口进行SSO登陆，如果成功以后SP就会发送一个上行信息给我们，信息的内容就是“

web你好我好大家好”。

      那么，我们就可以接收此信息，相关代码如下：
     
      receive.jsp

      <%
      String strPhone=request.getParameter("phone");
      String strMessage = request.getParameter("message");    
      %>
       这样，我们就可以判断message，左边三位是否是web，如果是的话，就把后边的信息发给那个手机，同时在这个过程中也就

扣钱了。

       2、如果用户要看的是网站的收费信息的话，因为最终是要用户能够下载这个资料，大致的步骤是

       用户---〉CP网站看到内容，点击连接----->SSO平台验证------>通过之后，自动提示用户保存该文件

       所以，与上面的步骤相比，在经过sso之后，又返回来了，这里就需要backurl参数了。

       我做了个测试，假设我们在backurl中指定的地址为 http://www.cqq.com/down.asp?id=200
      
       在经过SSO之后，SP返回来的地址是这样的

      

http://www.cqq.com/down.asp?id=200?result=0&item=baomi4&mobile=13552036990&svid=0660D0050I&action=10&cpuid=CP660

       也就是说在我们的backurl地址后面还跟了一些返回参数，这里有个result，这个参数的意思是登陆状态吧，

       0表示登陆成功了，如果为其他数值则表示发生了错误，比如result=1 或者 2 ，具体发生了什么错误

       我们并不知道，不过也没有必要关心。

       所以，在我们的down.asp程序中，就可以通过result的值作为是否成功登陆的标志，程序大致如下：

       <%
       If request("result")="0" Then

      '表示通过，找到相应的文件，提示用户下载
      Response.Redirect request("id") & ".zip"
       Else
             Response.write "对不起，您没有通过验证"
       End If      
       %>
 
       但是不要忘记了，这时候SP仍然会给我们发过来一个MO信息，我们接到这个上行信息之后，必须还要给用户

       发送一个下行信息，这样才能够真正的从用户手机当中扣钱了。

 

三、 存在的问题

1、SSO登陆是依赖于客户端Cookie的，所以如果客户端禁止了Cookie的话，就无法正常工作；

2、如果客户端浏览器安装了一些浏览器插件，比如google toolbar，3721上网助手之类的，就导致

     在SSO上成功登陆以后，浏览器没有自动关闭，那就更别提返回到backurl那个页面了。

3、在SSO验证通过，弹出的窗口中，梦网会嵌套一个广告，可能导致这个页面下载的时间比较长，

     IE下边状态栏里还在提示正在下载。 此时页面上已经出现了，关闭按钮，可是如果没有等这个

     页面完全下载完的话，你就点击这个关闭按钮的话，父窗口并没有返回backurl地址，而是什么

     都没有变化。  我试过好多次都是这样，不知道是不是bug。

4、一个安全问题，我还不是很清楚该怎么做。

     就是，我在上面说过，如果我网站中的资料是收费的，用户只有通过SSO登陆以后，才能够

     下载我的资料。上面的例子就是这么做的，可是在理论上存在一个很大的漏洞，那就是

     我的网站根本没有办法共享用户在梦网的登陆状态。我只能通过SSO返回的值进行判断，

     不管是backurl的值还是Item的值，都是可以被用户捕获的。

     我们再看看上面的例子，我的down.asp页面大致如下：

      down.asp
     
      <%
       If request("result")="0" Then
      '表示通过，找到相应的文件，提示用户下载
      Response.Redirect request("id") & ".zip"
       Else
             Response.write "对不起，您没有通过验证"
       End If      
       %>

      在这种情况下，用户完全可以通过直接在down.asp后面加参数来访问，也就是down.asp?result=0

      所以，还是要依赖于sp发回来的上行信息，也就是我们定义的Item，

      可是我们的接收程序如何与down.asp程序通信，也是很麻烦的一件事情

      我想到的办法，就是加一个中间数据，不管是保存在文本文件中，还是保存在数据库中都是一样的

      当我们接收到SP上行之后，就给这个用户复制一个标志数据过去，然后在

      down.asp中，判断是否存在这个标志数据，如果存在的话就下载，不存在的话就说明

      没有通过，下载完之后，down.asp程序再将那个标志数据删掉。

      不过这里又出现一个问题，就是浏览器返回backurl地址和我们接收到SP的上行信息，哪个快？

如果，我们接收程序还没有来得及写标志数据，前边浏览器已经返回backurl了，那怎么办？

这种办法可能也会出现其他的同步问题，没有细想。