APP

CAS统一认证中心,针对移动客户端的认证过程设计(APP视角)

作者:StephenZhu

CAS统一认证中心,针对移动客户端的认证过程设计(APP视角)

  • 业务场景

    • 统一认证中心CAS,用员工工号密码登录。
    • 有个通讯录server系统
    • 通讯录APP接入两个服务,即登录接CAS,业务接通讯录server
    • 通讯录APP在用户登录的情况下允许查询其他员工信息

  • 简单例子

    • 通讯录server系统有两个接口,用户信息接口,员工信息查询接口

  • 设计过程(未认证)

    • APP启动调用通讯录server的接口getUserInfo,用来获取当前用户的基本信息。
    • 通讯录server后台发现没有登录,返回报文
    1
    2
    3
    4
    5
    {
        "code": "0030",
        "errorMessage": "未登录",
        "result": null
    }
    • APP解析返回报文,code==0030,即跳转native登录页面
    • 登录页面调用cas提供的登录接口
    1
    2
    3
    4
    5
    6
    https://cas.domain.com/login.do?userName=66647&password=12345&jsonView=true&rememberMe=true

    userName:工号
    password:密码
    jsonView:是否返回json,因为大多情况下,CAS被设计成支持web鉴权
    rememberMe:是否开启记住会话
    • 如果登陆成功,CAS会返回一些cookies
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    <NSHTTPCookie
    	version:0
    	name:TGC
    	value:TGTCF84007422EAD5E7CED12D9658AF05D1716F52B9
    	expiresDate:'(null)'
    	created:'2018-05-28 12:23:04 +0000'
    	sessionOnly:TRUE
    	domain:cas.domain.com
    	partition:none
    	path:/ids/
    	isSecure:FALSE
    	isHTTPOnly: YES
     path:"/ids/" isSecure:FALSE isHTTPOnly: YES>
    • 如果开启了rememberMe,则会多一条cookie
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    <NSHTTPCookie
    	version:0
    	name:cas_r_me
    	value:MTcxMjAwNTFfQlJPV1NFUl8xNTI3NTA2MTQyMDkyXzE1Mjc1MTAxODQ5NzBfMl9iNjgzNTM1N2I5%0D%0AZTZlZGE0NjZjOWI1ODFkMDVmMDAxYw%3D%3D%0D%0A
    	expiresDate:'2018-06-07 11:23:04 +0000'
    	created:'2018-05-28 12:23:04 +0000'
    	sessionOnly:FALSE
    	domain:cas.domain.com
    	partition:none
    	path:/
    	isSecure:FALSE
    	isHTTPOnly: YES
     path:"/" isSecure:FALSE isHTTPOnly: YES>
    • APP重新调用server的getUserInfo接口,如果有机制能自动重掉当然更好,类似于web的302
    • 后台正常返回数据
    • app进入首页

  • 防止恶意破解(认证过程)

    • 调用CAS登陆接口失败多次,服务器一般会锁定当前IP或者其他策略,手段就是让用户人工介入输入动态图形验证码。

    • CAS会告知,请求需要验证码

      1
      2
      3
      4
      5
      6
      7
      {
      	"needVerifyCode": true,
      	"errorCode": "badVerifyCode",
      	"tgtTimeoutOrKickoff": false,
      	"res_code": 1,
      	"res_message": "errorCode"
      }

    • 获取验证码,根据”errorCode”: “badVerifyCode”,

      1
      https://passport.csdn.net/ajax/verifyhandler.ashx?uuid=xxxxxx

    • 登陆过程改造

      1
      2
      3
      4
      5
      6
      7
      8
      9
      https://cas.domain.com/login.do?userName=66647&password=12345&jsonView=true&rememberMe=true&verifyCode=8562&uuid=9DLCN-DL8CL3

      userName:工号
      password:密码
      jsonView:是否返回json,因为大多情况下,CAS被设计成支持web鉴权
      rememberMe:是否开启记住会话
      verifyCode:验证码,在某些情况下,服务器认为用户恶意尝试登陆,会有保护策略。
      uuid:用来确定验证码的uuid
      注:如果后台服务端强大,对验证码的管理不是通过uuid,而是通过会话识别对应,那么登录接口就无需uuid,生成图形验证码的时候也无需uuid

  • 设计过程(已认证)

    • APP启动调用server接口getUserInfo
    • 获取得到用户信息
    • 进入首页

  • 持久化会话

    • 保存cookie

      保存name为cas_r_me的cookie,如何保存cookie,具体方法不累赘。

    • logout需要清空保存的cookie

      删除本地缓存的所有cookie,具体方法不累赘。

    • 更新cookie

      在每一次APP启动,获取用户信息接口之后,更新保存的cookie,因为cookie有expiresDate,如果一直用第一次登录的那个,就算每天都登录,迟早会失效,这是我们不希望看到的。

    • 使用cookie

      每次打开app,加载本地保存的cookie到会话管理器,并激活生效。