游戏用户登录

小游戏可以通过SUD OpenPaaS提供的登录能力快速方便的获取到用户身份标识，建立小游戏内的用户体系。

1. 架构概述与参与角色

本流程描述了用户在 APP 内打开游戏时，游戏客户端如何通过 SUD 平台完成身份鉴权，并在游戏服务端建立安全的自定义登录态。 同时，该流程也负责生成后续用于数据加密的底层会话密钥 (sessionKey)。

• APP: 应用客户端
• SUD OP: 集成在客户端内的通信中间件 (SDK)
• Game: 游戏客户端
• Game SVR: 游戏的服务端
• SUD OP SVR: SUD 的服务端（核心鉴权与账号体系管理中枢）
• APP SVR: 应用的服务端（注：在本登录流程中不直接参与交互）

2. 交互时序图

3. 关键步骤说明

整个登录授权流程可以拆解为客户端获取凭证和服务端兑换会话两个核心阶段。

阶段一：客户端获取登录凭证 Code

1. 触发登录：Game 客户端调用 SUD OP 发起 login() 请求。
2. 提取身份标识：SUD OP 向 APP 发起回调 onGetLegacyUserIdentity()，要求 APP 提供当前用户的在原身份标识信息。
3. 返回身份信息：APP 将本地的身份标识 userIdentity 返回给 SUD OP。
4. 请求授权码：SUD OP 携带 accessToken, userToken (平台内用户标识), gameID 以及刚才获取的 userIdentity，向 SUD OP SVR 发起 getGameCode 网络请求。
5. 平台内部生成状态 (关键动作)：SUD OP SVR 接收到请求后，在服务端内部执行一系列核心状态生成动作：
   • generateCode()：生成与本次登录行为绑定的一次性短效授权码 code。
   • generateOpenID(gameID)：根据游戏 ID 生成该用户在此游戏内的唯一隔离标识 openID。
   • generateUnionID(appGroupID)：生成打通同一开发者主体下多个应用的统一标识 unionID。
6. 下发授权码：SUD OP SVR 将生成的 code 返回给客户端的 SUD OP。
7. 透传至游戏：SUD OP 将 code 响应给 Game 客户端。

阶段二：服务端兑换会话与密钥

1. 游戏服务端验证：Game 客户端拿到 code 后，调用自己游戏服务端的鉴权接口 login(code)，请求建立游戏登录态。
2. S2S 凭证兑换：Game SVR 作为受信任的后端，携带收到的 code、游戏应用的 gameID 和 gameSecret（应用密钥），向 SUD OP SVR 发起服务端 S2S 请求 code2session。
3. 生成核心会话密钥 (关键动作)：SUD OP SVR 校验 code 和 gameSecret 合法后，在内部调用 generateSessionKey 生成用于数据加密的对称密钥 session_key。
4. 下发账号数据与密钥：SUD OP SVR 将生成的 session_key，连同前一步生成的账号体系标识 (openID, unionID, resUniqueID) 一并响应给 Game SVR。
5. 建立自定义登录态：Game SVR 在自己的数据库中保存该用户的 session_key 和各类 ID，并生成属于游戏自己的业务会话（game custom session / Token），返回给 Game 客户端。至此，登录闭环完成。

4. 架构上下文与数据流转声明

• 隔离与安全设计：
  • SUD 平台通过派发 openID 和 unionID，实现了不同游戏之间、以及游戏与 APP 之间的数据隔离与映射。
  • session_key 仅在 SUD OP SVR 和 Game SVR 这两个受信任的服务端之间流转，从未暴露给 Game 客户端或 APP 客户端，保证了后续基于该密钥加密敏感信息时的绝对安全。