Posted on 2011-01-19 14:47
點(diǎn)點(diǎn)滴滴 閱讀(1012)
評(píng)論(0) 編輯 收藏 引用 所屬分類:
10 服務(wù)器
正如我們?cè)谇懊嬖懻撨^(guò)的,登錄服要實(shí)現(xiàn)的功能相當(dāng)簡(jiǎn)單,就是帳號(hào)驗(yàn)證。為了便于描述,我們暫不引入那些討論過(guò)的優(yōu)化手段,先以最簡(jiǎn)單的方式實(shí)現(xiàn),另外也將基本以mangos的代碼作為參考來(lái)進(jìn)行描述。
想象一下帳號(hào)驗(yàn)證的實(shí)現(xiàn)方法,最容易的那就是把用戶輸入的明文用帳號(hào)和密碼直接發(fā)給登錄服務(wù)器,服務(wù)器根據(jù)帳號(hào)從數(shù)據(jù)庫(kù)中取出密碼,與用戶輸入的密碼相比較。
這個(gè)方法存在的安全隱患實(shí)在太大,明文的密碼傳輸太容易被截獲了。那我們?cè)囍趥鬏斨跋燃右幌旅埽瑸榱朔?wù)器能進(jìn)行密碼比較,我們應(yīng)該采用一個(gè)可逆的加密算法,在服務(wù)器端把這個(gè)加密后的字串還原為原始的明文密碼,然后與數(shù)據(jù)庫(kù)密碼進(jìn)行比較。既然是一個(gè)可逆的過(guò)程,那外掛制作者總有辦法知道我們的加密過(guò)程,所以,這個(gè)方法仍不夠安全。
哦,如果我們只是希望密碼不可能被還原出來(lái),那還不容易嗎,使用一個(gè)不可逆的散列算法就行了。用戶在登錄時(shí)發(fā)送給服務(wù)器的是明文的帳號(hào)和經(jīng)散列后的不可逆密碼串,服務(wù)器取出密碼后也用同樣的算法進(jìn)行散列后再進(jìn)行比較。比如,我們就用使用最廣泛的md5算法吧。噢,不要管那個(gè)王小云的什么論文,如果我真有那么好的運(yùn)氣,早中500w了,還用在這考慮該死的服務(wù)器設(shè)計(jì)嗎?
似乎是一個(gè)很完美的方案,外掛制作者再也偷不到我們的密碼了。慢著,外掛偷密碼的目的是什么?是為了能用我們的帳號(hào)進(jìn)游戲!如果我們總是用一種固定的算法來(lái)對(duì)密碼做散列,那外掛只需要記住這個(gè)散列后的字串就行了,用這個(gè)做密碼就可以成功登錄。
嗯,這個(gè)問(wèn)題好解決,我們不要用固定的算法進(jìn)行散列就是了。只是,問(wèn)題在于服務(wù)器與客戶端采用的散列算法得出的字串必須是相同的,或者是可驗(yàn)證其是否匹配的。很幸運(yùn)的是,偉大的數(shù)學(xué)字們?cè)缇蜑槲覀儨?zhǔn)備好了很多優(yōu)秀的這類算法,而且經(jīng)理論和實(shí)踐都證明他們也確實(shí)是足夠安全的。
這其中之一是一個(gè)叫做SRP的算法,全稱叫做Secure Remote Password,即安全遠(yuǎn)程密碼。wow使用的是第6版,也就是SRP6算法。有關(guān)其中的數(shù)學(xué)證明,如果有人能向我解釋清楚,并能讓我真正弄明白的話,我將非常感激。不過(guò)其代碼實(shí)現(xiàn)步驟倒是并不復(fù)雜,mangos中的代碼也還算清晰,我們也不再贅述。
登錄服除了帳號(hào)驗(yàn)證外還得提供另一項(xiàng)功能,就是在玩家的帳號(hào)驗(yàn)證成功后返回給他一個(gè)服務(wù)器列表讓他去選擇。這個(gè)列表的狀態(tài)要定時(shí)刷新,可能有新的游戲世界開(kāi)放了,也可能有些游戲世界非常不幸地停止運(yùn)轉(zhuǎn)了,這些狀態(tài)的變化都要盡可能及時(shí)地讓玩家知道。不管發(fā)生了什么事,用戶都有權(quán)利知道,特別是對(duì)于付過(guò)費(fèi)的用戶來(lái)說(shuō),我們不該藏著掖著,不是嗎?
這個(gè)游戲世界列表的功能將由大區(qū)服來(lái)提供,具體的結(jié)構(gòu)我們?cè)谥耙裁枋鲞^(guò),這里暫不做討論。登錄服將從大區(qū)服上獲取到的游戲世界列表發(fā)給已驗(yàn)證通過(guò)的客戶端即可。好了,登錄服要實(shí)現(xiàn)的功能就這些,很簡(jiǎn)單,是吧。
確實(shí)是太簡(jiǎn)單了,不過(guò)簡(jiǎn)單的結(jié)構(gòu)正好更適合我們來(lái)看一看游戲服務(wù)器內(nèi)部的模塊結(jié)構(gòu),以及一些服務(wù)器共有組件的實(shí)現(xiàn)方法。這就留作下一篇吧。