CAS统一认证中心，针对移动客户端的认证过程设计（APP视角）

CAS统一认证中心，针对移动客户端的认证过程设计（APP视角）

• 业务场景

  • 统一认证中心CAS，用员工工号密码登录。
  • 有个通讯录server系统
  • 通讯录APP接入两个服务，即登录接CAS，业务接通讯录server
  • 通讯录APP在用户登录的情况下允许查询其他员工信息

• 简单例子

  • 通讯录server系统有两个接口，用户信息接口，员工信息查询接口

• 设计过程（未认证）

  • APP启动调用通讯录server的接口getUserInfo，用来获取当前用户的基本信息。
  • 通讯录server后台发现没有登录，返回报文

       {     "code": "0030",     "errorMessage": "未登录",     "result": null } 

  • APP解析返回报文，code==0030，即跳转native登录页面
  • 登录页面调用cas提供的登录接口

       https://cas.domain.com/login.do?userName=66647&password=12345&jsonView=true&rememberMe=true  userName:工号 password:密码 jsonView:是否返回json，因为大多情况下，CAS被设计成支持web鉴权 rememberMe:是否开启记住会话 

  • 如果登陆成功，CAS会返回一些cookies
  • 如果开启了rememberMe，则会多一条cookie
  • APP重新调用server的getUserInfo接口，如果有机制能自动重掉当然更好，类似于web的302
  • 后台正常返回数据
  • app进入首页

• 防止恶意破解(认证过程)

  • 调用CAS登陆接口失败多次，服务器一般会锁定当前IP或者其他策略，手段就是让用户人工介入输入动态图形验证码。

  • CAS会告知，请求需要验证码

           {     "needVerifyCode": true,     "errorCode": "badVerifyCode",     "tgtTimeoutOrKickoff": false,     "res_code": 1,     "res_message": "errorCode" } 

  • 获取验证码，根据”errorCode”: “badVerifyCode”,

           https://passport.csdn.net/ajax/verifyhandler.ashx?uuid=xxxxxx 

  • 登陆过程改造

           https://cas.domain.com/login.do?userName=66647&password=12345&jsonView=true&rememberMe=true&verifyCode=8562&uuid=9DLCN-DL8CL3  userName:工号 password:密码 jsonView:是否返回json，因为大多情况下，CAS被设计成支持web鉴权 rememberMe:是否开启记住会话 verifyCode:验证码，在某些情况下，服务器认为用户恶意尝试登陆，会有保护策略。 uuid:用来确定验证码的uuid 注：如果后台服务端强大，对验证码的管理不是通过uuid，而是通过会话识别对应，那么登录接口就无需uuid，生成图形验证码的时候也无需uuid 

• 设计过程(已认证)

  • APP启动调用server接口getUserInfo
  • 获取得到用户信息
  • 进入首页

• 持久化会话

  • 保存cookie

    保存name为cas_r_me的cookie，如何保存cookie，具体方法不累赘。

  • logout需要清空保存的cookie

    删除本地缓存的所有cookie，具体方法不累赘。

  • 更新cookie

    在每一次APP启动，获取用户信息接口之后，更新保存的cookie，因为cookie有expiresDate，如果一直用第一次登录的那个，就算每天都登录，迟早会失效，这是我们不希望看到的。

  • 使用cookie

    每次打开app，加载本地保存的cookie到会话管理器，并激活生效。