这两天对SSO的认识

这两天对SSO的认识

 网站点播流程

  一、对SSO基本的理解

  用户在CP网站点播某项信息，不管是什么信息，都是按条计费的。只有用户成功

  登陆中央SSO平台，才能够看到或者收到这条信息。

  对于网站来讲，这种信息主要有两种：

  一种是短信、铃声、彩信类，这类信息通常都是需要CP最终发送到用户的手机上；

  另外一种，是网站本身的收费内容。如果不考虑手机收费的话，网站通常的做法就是

  建立一个会员系统，用户只有成为会员并且成功登陆之后才能够看到这部分信息。 而一个

  会员是否登陆，这种状态一般都是记录在客户端的Cookie当中。

  所以，针对以上两种信息，在升级到SSO平台的时候可以采用不同的做法。

  联丰提供的CP向SP通信的Web地址格式为：

  http://211.154.45.40:8080/weborder/webpush.aspx?mobile=13601291695&svid=0660D0050I&cpuid=CP660&item=webxz&action=10

  &backurl=&DeliverURL=

  相应的参数的意思为：

  mobile 用户的手机号码，也就是要从这个号码中扣钱

  svid 是业务代码，这个业务代码是移动规定的。一个业务代码最基本的属性就是价格，如果是包月的可能还有限制的

  条数等等。

  不过在联丰主页上有个自写短信，那里面的svid=yy， 感觉这个yy不应该是移动那边规定的，而是联丰在向移动

  请求的

  时候，把这个yy在内部又转换成了移动规定的那个业务代码，这样理解不知道对不对？

  cpuid 刚开始的时候，我总是念 cpu----id，后来慢慢的改过来了，应该是cp---uid吧。

  item 这个参数很重要，也很有用。当用户通过SSO验证以后，sp会给cp一个上行信息MO，而这个信息的内容就是item的

  值。

  action action=10的时候，就说明是网站点播

  backurl 这个参数也比较有用，就是通过SSO验证以后，自动返回backurl指定的页面。

  二、下面就是我的做法了：

  1、如果用户只要求发送某条信息到他们的手机上，通常这种信息都不会很长，毕竟是要发送到手机上的。那么在网站上可

  以这样写：

  send.jsp

  <%

  String

  strUrl="http://211.154.45.40:8080/weborder/webpush.aspx?mobile=&svid=0660D0050I&cpuid=CP660&action=10&backurl=&Deli

  verURL=&item=web";

  strUrl = strUrl + "你好我好大家好"; //这个内容就是变化的

  %>

  你好我好大家好

  这样当用户提交的时候，自动弹出一个窗口进行SSO登陆，如果成功以后SP就会发送一个上行信息给我们，信息的内容就是“

  web你好我好大家好”。

  那么，我们就可以接收此信息，相关代码如下：

  receive.jsp

  <%

  String strPhone=request.getParameter("phone");

  String strMessage = request.getParameter("message");

  %>

  这样，我们就可以判断message，左边三位是否是web，如果是的话，就把后边的信息发给那个手机，同时在这个过程中也就

  扣钱了。

  2、如果用户要看的是网站的收费信息的话，因为最终是要用户能够下载这个资料，大致的步骤是

  用户--->CP网站看到内容，点击连接----->SSO平台验证------>通过之后，自动提示用户保存该文件

  所以，与上面的步骤相比，在经过sso之后，又返回来了，这里就需要backurl参数了。

  我做了个测试，假设我们在backurl中指定的地址为 http://www.cqq.com/down.asp?id=200

  在经过SSO之后，SP返回来的地址是这样的

  http://www.cqq.com/down.asp?id=200?result=0&item=baomi4&mobile=13552036990&svid=0660D0050I&action=10&cpuid=CP660

  也就是说在我们的backurl地址后面还跟了一些返回参数，这里有个result，这个参数的意思是登陆状态吧，

  0表示登陆成功了，如果为其他数值则表示发生了错误，比如result=1 或者 2 ，具体发生了什么错误

  我们并不知道，不过也没有必要关心。

  所以，在我们的down.asp程序中，就可以通过result的值作为是否成功登陆的标志，程序大致如下：

  <%

  If request("result")="0" Then

  ‘表示通过，找到相应的文件，提示用户下载

  Response.Redirect request("id") & ".zip"

  Else

  Response.write "对不起，您没有通过验证"

  End If

  %>

  但是不要忘记了，这时候SP仍然会给我们发过来一个MO信息，我们接到这个上行信息之后，必须还要给用户

  发送一个下行信息，这样才能够真正的从用户手机当中扣钱了。

  三、 存在的问题

  1、SSO登陆是依赖于客户端Cookie的，所以如果客户端禁止了Cookie的话，就无法正常工作；

  2、如果客户端浏览器安装了一些浏览器插件，比如google toolbar，3721上网助手之类的，就导致

  在SSO上成功登陆以后，浏览器没有自动关闭，那就更别提返回到backurl那个页面了。

  3、在SSO验证通过，弹出的窗口中，梦网会嵌套一个广告，可能导致这个页面下载的时间比较长，

  IE下边状态栏里还在提示正在下载。 此时页面上已经出现了，关闭按钮，可是如果没有等这个

  页面完全下载完的话，你就点击这个关闭按钮的话，父窗口并没有返回backurl地址，而是什么

  都没有变化。 我试过好多次都是这样，不知道是不是bug。

  4、一个安全问题，我还不是很清楚该怎么做。

  就是，我在上面说过，如果我网站中的资料是收费的，用户只有通过SSO登陆以后，才能够

  下载我的资料。上面的例子就是这么做的，可是在理论上存在一个很大的漏洞，那就是

  我的网站根本没有办法共享用户在梦网的登陆状态。我只能通过SSO返回的值进行判断，

  不管是backurl的值还是Item的值，都是可以被用户捕获的。

  我们再看看上面的例子，我的down.asp页面大致如下：

  down.asp

  <%

  If request("result")="0" Then

  ‘表示通过，找到相应的文件，提示用户下载

  Response.Redirect request("id") & ".zip"

  Else

  Response.write "对不起，您没有通过验证"

  End If

  %>

  在这种情况下，用户完全可以通过直接在down.asp后面加参数来访问，也就是down.asp?result=0

  所以，还是要依赖于sp发回来的上行信息，也就是我们定义的Item，

  可是我们的接收程序如何与down.asp程序通信，也是很麻烦的一件事情

  我想到的办法，就是加一个中间数据，不管是保存在文本文件中，还是保存在数据库中都是一样的

  当我们接收到SP上行之后，就给这个用户复制一个标志数据过去，然后在

  down.asp中，判断是否存在这个标志数据，如果存在的话就下载，不存在的话就说明

  没有通过，下载完之后，down.asp程序再将那个标志数据删掉。

  不过这里又出现一个问题，就是浏览器返回backurl地址和我们接收到SP的上行信息，哪个快？

  如果，我们接收程序还没有来得及写标志数据，前边浏览器已经返回backurl了，那怎么办？

  这种办法可能也会出现其他的同步问题，没有细想。