Posted on 2011-01-19 14:47
點(diǎn)點(diǎn)滴滴 閱讀(1016)
評論(0) 編輯 收藏 引用 所屬分類:
10 服務(wù)器
正如我們在前面曾討論過的�,登錄服要實(shí)現(xiàn)的功能相當(dāng)簡單��,就是帳號驗(yàn)證。為了便于描述����,我們暫不引入那些討論過的優(yōu)化手段�,先以最簡單的方式實(shí)現(xiàn),另外也將基本以mangos的代碼作為參考來進(jìn)行描述�。
想象一下帳號驗(yàn)證的實(shí)現(xiàn)方法����,最容易的那就是把用戶輸入的明文用帳號和密碼直接發(fā)給登錄服務(wù)器����,服務(wù)器根據(jù)帳號從數(shù)據(jù)庫中取出密碼,與用戶輸入的密碼相比較。
這個(gè)方法存在的安全隱患實(shí)在太大����,明文的密碼傳輸太容易被截獲了����。那我們試著在傳輸之前先加一下密��,為了服務(wù)器能進(jìn)行密碼比較��,我們應(yīng)該采用一個(gè)可逆的加密算法,在服務(wù)器端把這個(gè)加密后的字串還原為原始的明文密碼,然后與數(shù)據(jù)庫密碼進(jìn)行比較�。既然是一個(gè)可逆的過程��,那外掛制作者總有辦法知道我們的加密過程����,所以,這個(gè)方法仍不夠安全��。
哦��,如果我們只是希望密碼不可能被還原出來��,那還不容易嗎,使用一個(gè)不可逆的散列算法就行了�。用戶在登錄時(shí)發(fā)送給服務(wù)器的是明文的帳號和經(jīng)散列后的不可逆密碼串����,服務(wù)器取出密碼后也用同樣的算法進(jìn)行散列后再進(jìn)行比較��。比如�,我們就用使用最廣泛的md5算法吧��。噢��,不要管那個(gè)王小云的什么論文,如果我真有那么好的運(yùn)氣����,早中500w了�,還用在這考慮該死的服務(wù)器設(shè)計(jì)嗎�?
似乎是一個(gè)很完美的方案,外掛制作者再也偷不到我們的密碼了����。慢著��,外掛偷密碼的目的是什么?是為了能用我們的帳號進(jìn)游戲�!如果我們總是用一種固定的算法來對密碼做散列����,那外掛只需要記住這個(gè)散列后的字串就行了����,用這個(gè)做密碼就可以成功登錄����。
嗯,這個(gè)問題好解決,我們不要用固定的算法進(jìn)行散列就是了�。只是��,問題在于服務(wù)器與客戶端采用的散列算法得出的字串必須是相同的,或者是可驗(yàn)證其是否匹配的。很幸運(yùn)的是,偉大的數(shù)學(xué)字們早就為我們準(zhǔn)備好了很多優(yōu)秀的這類算法,而且經(jīng)理論和實(shí)踐都證明他們也確實(shí)是足夠安全的�。
這其中之一是一個(gè)叫做SRP的算法����,全稱叫做Secure Remote Password�,即安全遠(yuǎn)程密碼。wow使用的是第6版,也就是SRP6算法�。有關(guān)其中的數(shù)學(xué)證明�,如果有人能向我解釋清楚,并能讓我真正弄明白的話�,我將非常感激��。不過其代碼實(shí)現(xiàn)步驟倒是并不復(fù)雜,mangos中的代碼也還算清晰����,我們也不再贅述��。
登錄服除了帳號驗(yàn)證外還得提供另一項(xiàng)功能,就是在玩家的帳號驗(yàn)證成功后返回給他一個(gè)服務(wù)器列表讓他去選擇����。這個(gè)列表的狀態(tài)要定時(shí)刷新����,可能有新的游戲世界開放了��,也可能有些游戲世界非常不幸地停止運(yùn)轉(zhuǎn)了����,這些狀態(tài)的變化都要盡可能及時(shí)地讓玩家知道��。不管發(fā)生了什么事,用戶都有權(quán)利知道��,特別是對于付過費(fèi)的用戶來說�,我們不該藏著掖著,不是嗎����?
這個(gè)游戲世界列表的功能將由大區(qū)服來提供�,具體的結(jié)構(gòu)我們在之前也描述過����,這里暫不做討論。登錄服將從大區(qū)服上獲取到的游戲世界列表發(fā)給已驗(yàn)證通過的客戶端即可。好了�,登錄服要實(shí)現(xiàn)的功能就這些�,很簡單�,是吧。
確實(shí)是太簡單了,不過簡單的結(jié)構(gòu)正好更適合我們來看一看游戲服務(wù)器內(nèi)部的模塊結(jié)構(gòu)�,以及一些服務(wù)器共有組件的實(shí)現(xiàn)方法��。這就留作下一篇吧。