登录鉴权
SDK登录鉴权的目的
确保只有合法的身份才能使用SDK接入到服务器。
SDK登录鉴权方案
密码鉴权方案: 此方案简单,配合https通信,适用于一般的安全要求;
动态token鉴权方案: 此方案每次登录token都不一样,并且可自定义token的有效期,具有更高的安全性;
1. 密码鉴权方案说明
- 在管理平台上,创建appID及密码,然后保存到业务服务器上;
- 在app连接到业务服务器时,通过安全通道将“appID及md5(密码)”下发给app并调用login配置给SDK;
- SDK通过https向SDK服务器发起登录时携带“appID及md5(密码)”;
- SDK服务器校验密码是否正确;
2. 动态token鉴权方案说明
- 在管理平台上,创建appID及密码,然后保存到业务服务器上;
- App调用SDK登录之前,去业务服务器请求“token”;
- 业务服务器调用SDK token生成器,生成token并返回给App;
- App收到token后,调用SDK的login;
- SDK通过https向SDK服务器发起登录时携带“appID及token”;
- SDK服务器校验token;
- 在token即将过期前30秒,服务器通知SDK,SDK会通过notifyTokenWillExpire通知app;
- app应该尽快从业务服务器获取到新的token并调用updateToken提交给SDK,SDK将其更新到SDK服务器后,就可保证通信不中断;(如果token到期前没有更新有效token,通信将被结束)