618大促红包活动中登陆相关出现的问题简单汇总

一、登陆接口流程



二、登陆中发现的问题

1、手Q登录中可能出现如下问题：

a、某些情况下，手Q后台未带入无sid：如用户首次进入页面；用户的二级入口（活动页面内跳转，手Q未带入sid）

b、用户切换QQ号后，sid未重写；

c、sid在URL中传递时被截断； --- sid中含有特殊字符，被XSS过滤

2、可能的bug表现：

a、用户切换手Q号码后，读取的数据，是上一个号码的数据；

b、手Q中页面内跳转时突然出现要求用户登录页面；

解决办法，在用户登录过程中写入新的cookie变量用来存储sid。每次用户有动作时判断一下手Q的sid与自己记录的sid是否一致，若不一致则说明用户没有登录态度，则调用登录动作；

具体方法见：
http://zeratul.sinaapp.com/?articleid=92
3、微信的改绑流程为：

用户登陆微信--改绑QQ--重新登陆微信；

改绑动作只有在重新登陆微信后才生效。请注意；

4、在活动后期，为了提升性能，减少微信登陆接口调用次数；将号码绑定关系改为如下：

用户首次进入写入CMEM的关系，即为永久关系，后续用户在此从CMEM查询号码（不管微信是否改绑了其他号码），都返回首次绑定的号码；

----大部分用户很少改绑QQ，随有损体验，但可提高性能；

----后续可能会修改，但大促期间进行了这一优化；

三、如何区分场景来源（微信/手Q/IOS/android/wp等）

1、方法

a：通过useragent

b：通过微信/手Q提供的api ---- 推荐此方法

2、可能引起的问题，会导致来源判断不正确；

a、useragent会被修改，场景：

例1：某些家庭路由器，会将请求的useragent修改为PC浏览器的内容，导致场景判断失败；

例2：某些系统，如windows phone会修改useragent为PC浏览器；

四、典型问题

1、若业务系统是根据UIN来做用户关联；则用户可以通过uin登陆获取登录态后模拟微信场景进行登陆，使用一系列CGI模拟上述流程即可绕开手Q的安全防御手段。 ------- 活动类（抢红包等）容易被利用，手Q中有黑白名单及规则命中，而微信中无这些措施，只能依靠opid进行判断，上述异常手段会造成openid为空，在app层对openid进行检查即可；