一、对SSO基本的理解
用户在CP网站点播某项信息,不管是什么信息,都是按条计费的。只有用户成功
登陆中央SSO平台,才能够看到或者收到这条信息。
对于网站来讲,这种信息主要有两种:
一种是短信、铃声、彩信类,这类信息通常都是需要CP最终发送到用户的手机上;
另外一种,是网站本身的收费内容。如果不考虑手机收费的话,网站通常的做法就是
建立一个会员系统,用户只有成为会员并且成功登陆之后才能够看到这部分信息。 而一个
会员是否登陆,这种状态一般都是记录在客户端的Cookie当中。
所以,针对以上两种信息,在升级到SSO平台的时候可以采用不同的做法。
联丰提供的CP向SP通信的Web地址格式为:
&backurl=&DeliverURL=
相应的参数的意思为:
mobile 用户的手机号码,也就是要从这个号码中扣钱
svid 是业务代码,这个业务代码是移动规定的。一个业务代码最基本的属性就是价格,如果是包月的可能还有限制的
条数等等。
不过在联丰主页上有个自写短信,那里面的svid=yy, 感觉这个yy不应该是移动那边规定的,而是联丰在向移动
请求的
时候,把这个yy在内部又转换成了移动规定的那个业务代码,这样理解不知道对不对?
cpuid 刚开始的时候,我总是念 cpu----id,后来慢慢的改过来了,应该是cp---uid吧。
item 这个参数很重要,也很有用。当用户通过SSO验证以后,sp会给cp一个上行信息MO,而这个信息的内容就是item的
值。
action action=10的时候,就说明是网站点播
backurl 这个参数也比较有用,就是通过SSO验证以后,自动返回backurl指定的页面。
二、下面就是我的做法了:
1、如果用户只要求发送某条信息到他们的手机上,通常这种信息都不会很长,毕竟是要发送到手机上的。那么在网站上可
以这样写:
send.jsp
<%
String
verURL=&item=web";
strUrl = strUrl + "你好我好大家好"; //这个内容就是变化的
%>
<a href="<%=strUrl%>" target="_blank">你好我好大家好</a>
这样当用户提交的时候,自动弹出一个窗口进行SSO登陆,如果成功以后SP就会发送一个上行信息给我们,信息的内容就是“
web你好我好大家好”。
那么,我们就可以接收此信息,相关代码如下:
receive.jsp
<%
String strPhone=request.getParameter("phone");
String strMessage = request.getParameter("message");
%>
这样,我们就可以判断message,左边三位是否是web,如果是的话,就把后边的信息发给那个手机,同时在这个过程中也就
扣钱了。
2、如果用户要看的是网站的收费信息的话,因为最终是要用户能够下载这个资料,大致的步骤是
用户--->CP网站看到内容,点击连接----->SSO平台验证------>通过之后,自动提示用户保存该文件
所以,与上面的步骤相比,在经过sso之后,又返回来了,这里就需要backurl参数了。
我做了个测试,假设我们在backurl中指定的地址为 http://www.cqq.com/down.asp?id=200
在经过SSO之后,SP返回来的地址是这样的
也就是说在我们的backurl地址后面还跟了一些返回参数,这里有个result,这个参数的意思是登陆状态吧,
0表示登陆成功了,如果为其他数值则表示发生了错误,比如result=1 或者 2 ,具体发生了什么错误
我们并不知道,不过也没有必要关心。
所以,在我们的down.asp程序中,就可以通过result的值作为是否成功登陆的标志,程序大致如下:
<%
If request("result")="0" Then
'表示通过,找到相应的文件,提示用户下载
Response.Redirect request("id") & ".zip"
Else
Response.write "对不起,您没有通过验证"
End If
%>
但是不要忘记了,这时候SP仍然会给我们发过来一个MO信息,我们接到这个上行信息之后,必须还要给用户
发送一个下行信息,这样才能够真正的从用户手机当中扣钱了。
三、 存在的问题
1、SSO登陆是依赖于客户端Cookie的,所以如果客户端禁止了Cookie的话,就无法正常工作;
2、如果客户端浏览器安装了一些浏览器插件,比如google toolbar,3721上网助手之类的,就导致
在SSO上成功登陆以后,浏览器没有自动关闭,那就更别提返回到backurl那个页面了。
3、在SSO验证通过,弹出的窗口中,梦网会嵌套一个广告,可能导致这个页面下载的时间比较长,
IE下边状态栏里还在提示正在下载。 此时页面上已经出现了,关闭按钮,可是如果没有等这个
页面完全下载完的话,你就点击这个关闭按钮的话,父窗口并没有返回backurl地址,而是什么
都没有变化。 我试过好多次都是这样,不知道是不是bug。
4、一个安全问题,我还不是很清楚该怎么做。
就是,我在上面说过,如果我网站中的资料是收费的,用户只有通过SSO登陆以后,才能够
下载我的资料。上面的例子就是这么做的,可是在理论上存在一个很大的漏洞,那就是
我的网站根本没有办法共享用户在梦网的登陆状态。我只能通过SSO返回的值进行判断,
不管是backurl的值还是Item的值,都是可以被用户捕获的。
我们再看看上面的例子,我的down.asp页面大致如下:
down.asp
<%
If request("result")="0" Then
'表示通过,找到相应的文件,提示用户下载
Response.Redirect request("id") & ".zip"
Else
Response.write "对不起,您没有通过验证"
End If
%>
在这种情况下,用户完全可以通过直接在down.asp后面加参数来访问,也就是down.asp?result=0
所以,还是要依赖于sp发回来的上行信息,也就是我们定义的Item,
可是我们的接收程序如何与down.asp程序通信,也是很麻烦的一件事情
我想到的办法,就是加一个中间数据,不管是保存在文本文件中,还是保存在数据库中都是一样的
当我们接收到SP上行之后,就给这个用户复制一个标志数据过去,然后在
down.asp中,判断是否存在这个标志数据,如果存在的话就下载,不存在的话就说明
没有通过,下载完之后,down.asp程序再将那个标志数据删掉。
不过这里又出现一个问题,就是浏览器返回backurl地址和我们接收到SP的上行信息,哪个快?
如果,我们接收程序还没有来得及写标志数据,前边浏览器已经返回backurl了,那怎么办?
这种办法可能也会出现其他的同步问题,没有细想。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
