單點登錄平臺管理軟件系統(tǒng)設計文檔

1、單點登錄平臺管理軟件設計方案目錄一、項目概述1二、項目目標1三、必要性分析1四、定義2五、項目需求31.概述32.功能需求分析42.1.系統(tǒng)實現(xiàn)結構圖52.2.系統(tǒng)實現(xiàn)層次結構52.3.功能需求62.4.流程邏輯113.數(shù)據(jù)庫設計134.服務器與成員網(wǎng)站接口規(guī)范15一、 項目概述單點登錄（Single Sign On），簡稱為 SSO，它是一個用戶認證的過程，允許用戶一次性進行認證之后，就訪問系統(tǒng)中不同的應用；而不需要訪問每個應用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、全網(wǎng)漫游” 它是一個用戶認證的過程，允許用戶一次性進行認證之后，就訪問系統(tǒng)中不同的應用；而不需要訪問每個

2、應用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、全網(wǎng)漫游”。SSO將一個企業(yè)內(nèi)部所有域中的用戶登錄和用戶帳號管理集中到一起，SSO的好處顯而易見。對于內(nèi)部有多種應用系統(tǒng)的企業(yè)來說，單點登錄的效果是十分明顯的。很多國際上的企業(yè)已經(jīng)將單點登錄作為系統(tǒng)設計的基本功能之一。二、 項目目標通過建設與實現(xiàn)SSO，可以達到以下目標：減少用戶在不同系統(tǒng)中登錄耗費的時間，減少用戶登錄出錯的可能性。實現(xiàn)安全的同時避免了處理和保存多套系統(tǒng)用戶的認證信息。減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權限的時間。增加了安全性：系統(tǒng)管理員有了更好的方法管理用戶，包括可以通過直接禁止和刪除用戶來取消該用戶對所

3、有系統(tǒng)資源的訪問權限。三、 必要性分析鑒于單位運營的多個獨立網(wǎng)站（稱為成員站點），每個網(wǎng)站都具有自己的身份驗證機制，這樣勢必造成：生活中的一位用戶，如果要以會員的身份訪問網(wǎng)站，需要在每個網(wǎng)站上注冊，并且通過身份驗證后，才能以會員的身份訪問網(wǎng)站；即使用戶以同樣的用戶名與密碼在每個網(wǎng)站上注冊時，雖然可以在避免用戶名與密碼的忘記和混淆方面有一定的作用，但是用戶在某一段時間訪問多個成員站點或在成員站點間跳轉時，還是需要用戶登錄后，才能以會員的身份訪問網(wǎng)站。這樣不僅給用戶帶來了不便，而且成員網(wǎng)站為登錄付出了性能的代價； 如果所有的成員網(wǎng)站，能夠實現(xiàn)單點登錄，不僅在用戶體驗方面有所提高，而且真正體現(xiàn)了平臺

4、的一體性。通過這種有機結合，能更好地體現(xiàn)公司大平臺，大渠道的理念。同時，這樣做也利于成員網(wǎng)站的相互促進與相互宣傳。 正是出于上面的兩點，單點登錄系統(tǒng)的開發(fā)是必須的，是迫在眉睫的。四、 定義單點登錄系統(tǒng)提供所有成員網(wǎng)站的“單一登錄”入口。本系統(tǒng)的實質是含有身份驗證狀態(tài)的變量，在各個成員網(wǎng)站間共用。單點登錄系統(tǒng)，包括認證服務器(稱Passport服務器)，成員網(wǎng)站服務器。 會員：用戶通過Passport服務器注冊成功后，就具有了會員身份。單一登錄：會員第一次訪問某個成員網(wǎng)站時，需要提供用戶名與密碼，一旦通過Passport服務器的身份驗證，該會員在一定的時間內(nèi)，訪問任何成員網(wǎng)站都不需要再次登錄。C

5、ookie驗證票：含有身份驗證狀態(tài)的變量。由Passport服務器生成，票含有用戶名，簽發(fā)日期時間，過期日期時間和用戶其它數(shù)據(jù)。五、 項目需求1. 概述（1）注冊：a.成員網(wǎng)站重定向到Passport服務器的注冊頁面，并且?guī)в蟹祷豒RL和成員網(wǎng)站ID。 b.通過Passport注冊頁面創(chuàng)建會員后，保存會員驗證票到數(shù)據(jù)庫和passport服務器所在域cookie中。同時，在成員網(wǎng)站的數(shù)據(jù)庫上創(chuàng)建與Passport服務器數(shù)據(jù)庫中會員的映射關系。c. 重定向到成員網(wǎng)站，填寫會員個性信息。d. 保存會員個性信息，并把重定向傳入的驗證票保存到本地cookie和創(chuàng)建Session狀態(tài)變量。（2）登錄：a、

6、 SSO系統(tǒng)要實現(xiàn)各個成員網(wǎng)站的無縫結合，只要會員經(jīng)過了認證服務器的登錄驗證（Passport服務器），該會員訪問其它任何的網(wǎng)站時，都不需要再次登錄。b、 會員在第一次登錄時，Passport服務器驗證身份之后，生成的cookie驗證票，只需保存到Passport服務器所在域的cookie中，不能采用向每個成員網(wǎng)站所在的域中寫cookie,防止響應時間太長，給會員帶來不友好的瀏覽體驗。同時，把下發(fā)給會員的cookie票保存到Passport服務器的數(shù)據(jù)庫中，方便驗證方式和會員行為統(tǒng)計的擴展。c、 會員一經(jīng)通過身份驗證，成功登錄了某個成員網(wǎng)站(假設為網(wǎng)站A),需要利用Session和cookie

7、兩種方式保存會員已經(jīng)登錄的狀態(tài)。d、 同一個瀏覽器進程中，會員在網(wǎng)站A的頁面間跳轉時，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與Passport服務器通信驗證會員的身份。e、 會員通過驗證登錄了網(wǎng)站A,若會員從網(wǎng)站A跳轉或重新打開瀏覽器登錄其它成員網(wǎng)站(假設網(wǎng)站B)，都需要與Passport服務器通信驗證會員的票。但是，這次驗證不要Passport服務器與數(shù)據(jù)庫中保存的驗證票進行比較驗證，只需要驗證Passport服務器域中的cookie驗證票據(jù)有效即可。f、 對于驗證cookie票，能夠實現(xiàn)加密和數(shù)字簽名保證cookie的機密性，完整性和不可抵賴性。g、 若果Passport

8、服務器Down掉后，仍可以直接登錄成員網(wǎng)站。 3)登出、修改密碼、找回密碼和成員網(wǎng)站間的跳轉，請查看IPO圖表中相應的模塊描述。2. 功能需求分析SSO系統(tǒng)包括注冊、登錄、登出、密碼修改、密碼找回、成員網(wǎng)站間跳轉與用戶管理模塊。系統(tǒng)機構和模塊內(nèi)部處理功能，它主要包括層次結構圖和IPO圖兩個部分。層次結構圖描述了整個系統(tǒng)的結構以及各個模塊之間的關系；IPO圖則描述了在某個特定模塊內(nèi)部的輸入（I）、處理過程（P）、輸出（O）思想。2.1. 系統(tǒng)實現(xiàn)結構圖            &

9、#160;              2.2. 系統(tǒng)實現(xiàn)層次結構               2.3. 功能需求2.3.1. 模塊名稱：會員注冊（1） 輸入部分A.重定向到Passport服務器，帶有返回URL和成員網(wǎng)站IDB. 輸入信息：郵箱、密碼、區(qū)域（暫時沒有使用驗證碼）。C.提交注冊信息，發(fā)出注冊請求。D.注冊用戶從郵件

10、中獲得驗證碼，利用驗證號激活用戶，此時用戶將成為合法會員。E.會員個性信息（在成員網(wǎng)站填寫）（2） 處理描述郵箱是否可用的實時檢查，及時提示郵箱是否可用（這里的可用僅僅是表示符合郵箱的規(guī)范，并且該郵箱沒有被注冊，不表示真正的可用）。密碼安全級別實時提示。根據(jù)字符長度、含有字符的種類，計算安全級別，并實時提示用戶。安全級別分為:太短，差，良，優(yōu)四個等級。根據(jù)區(qū)域數(shù)據(jù)庫，獲得區(qū)域信息下拉框，結合會員區(qū)域IP，實現(xiàn)區(qū)域自動篩選，在允許的誤差范圍內(nèi)不需手動選擇區(qū)域。建立新會員:(a)驗證會員提交的注冊信息，若合法，把用于激活帳號的驗證碼發(fā)送到會員測試使用的郵箱中。(b)會員使用驗證碼激活帳號，若激活成

11、功，保存會員信息和會員驗證票到數(shù)據(jù)庫(Passport服務器數(shù)據(jù)庫),并且驗證票也保存到cookie中。同時調(diào)用成員網(wǎng)站的Web Service接口，把剛才產(chǎn)生的Passid保存到成員網(wǎng)站數(shù)據(jù)庫中（建立映射關系）。 (c)重定向到成員網(wǎng)站。 (d)成員網(wǎng)站接收數(shù)據(jù)，提示會員填寫個性信息，并提交到成員網(wǎng)站服務器。(e)保存?zhèn)€性信息與接收的會員驗證信息到成員網(wǎng)站數(shù)據(jù)庫與cookie中，同時在Session中保存會員已驗證的狀態(tài)信息。(f)導航會員到某個頁面。（3） 輸出部分APassort服務器保存新會員信息和會員驗證票到數(shù)據(jù)庫中。B成員網(wǎng)站W(wǎng)eb Service，在成員網(wǎng)站數(shù)據(jù)庫中添加會員信息，

12、利用Passid建立與Passport服務器上會員的映射關系，并返回操作成功或失敗狀態(tài)信息。C修改成員網(wǎng)站數(shù)據(jù)庫中會員的個性信息。D保存會員驗證票到cookie中，同時保存會員通過驗證的狀態(tài)到Session中。2.3.2. 模塊名稱：會員登錄（1） 輸入部分A.會員第一次登錄時輸入Email和密碼。B. 提交會員信息到Passport服務器。說明：加載登錄框之前，成員網(wǎng)站會首先與Passport服務器通信，獲得會員是否已經(jīng)登錄過，根據(jù)狀態(tài)加載登錄框。（2） 處理描述1) 在成員網(wǎng)站A含有登錄框頁面的<head>區(qū)，利用<script src=meber_auth.aspx&g

13、t; 在頁頭嵌入.aspx文件（成員網(wǎng)站上的文件）。a.頁面首先查看Session中的狀態(tài)變量，如果狀態(tài)變量為NULL,則查看cookie中的狀態(tài)變量。b.根據(jù)Session與Cookie中狀態(tài)變量的情況，實現(xiàn)與Passport服務器上的Web Service通信，確定會員是否已經(jīng)登錄。2) 根據(jù)會員登錄與否，加載登錄框。3) 如果沒有登錄，顯示會員輸入Email和密碼的登錄框。4) 會員提交信息到Passport服務器上的Web Service ,通過驗證后生成cookie票，并返回登錄狀態(tài)值和cookie票到成員網(wǎng)站。成員網(wǎng)站保存登錄狀態(tài)變量與cookie票。說明：會員通過任何一個成員網(wǎng)站

14、登錄成功后，表示已經(jīng)登錄了所有的成員網(wǎng)站。（3） 輸出部分根據(jù)登錄狀態(tài)加載登錄框1) 在Passport服務器上創(chuàng)建會員驗證票，保存到數(shù)據(jù)庫與cookie中。2) Passport Web Service 返回登錄狀態(tài)值與cookie驗證票到成員網(wǎng)站。3) 保存會員驗證票到cookie中，同時保存會員通過驗證的狀態(tài)到Session中。2.3.3.  模塊名稱：會員登出（1） 輸入部分1) 成員網(wǎng)站重定向到Passport服務器的登出頁面，并帶有返回URL,成員網(wǎng)站ID和驗證票。（2） 處理描述1) 在成員網(wǎng)站A重定向到Passport服務器，Passport接收cookie驗證票,并

15、驗證是否合法。2) Passport修改數(shù)據(jù)庫中驗證票使之失效，清除cookie中的驗證票。3) 重定向到成員網(wǎng)站，清除cookie中的驗證票和Session中登錄狀態(tài)變量。4) 導航會員到某個頁面。（3） 輸出部分1) .修改數(shù)據(jù)庫中的驗證票使之失效，并清除cookie。 2) 2.重定向到成員網(wǎng)站。2.3.4.  模塊名稱：修改密碼（1） 輸入部分1) 成員網(wǎng)站重定向到Passport服務器找回密碼頁面，并帶有驗證cookie票。2) 會員輸入Email地址3) 提交數(shù)據(jù)4) 激活新密碼(郵箱將收到一個激活密碼的URL)（2） 處理技術1) 在成員網(wǎng)站A重定向到Passport服

16、務器，Passport接收cookie驗證票,并驗證是否合法。2) Passport為會員生成新密碼，并向會員郵箱中發(fā)送一個激活密碼的URL。3) 激活新密碼4) 使用新的密碼登錄（3） 輸出部分1) 為會員生成新密碼，但未激活。 2) 2.提示會員收郵件激活新密碼，激活后方可使用。2.4. 流程邏輯（1） 會員登錄流程圖（2） 會員登出流程圖（3） 會員修改密碼流程圖 （4） 會員找回密碼流程圖 3. 數(shù)據(jù)庫設計3.1.1. Pass_Member(會員表) 字段名稱數(shù)據(jù)類型說明備注mPassIDBigint會員ID號自增型，PK(主鍵)mNameNvarchar(64)會員名Em

17、ail作為會員名（創(chuàng)建索引）mPwdNvarchar(32)會員密碼數(shù)據(jù)庫中保存MD5運算的結果mGBPwdNvarchar(32)會員找回密碼會員找回密碼時，生成的密碼，會員激活后覆蓋會員密碼mWakeTinyint會員喚醒當和成員網(wǎng)站建立映射關系后，喚醒該會員mMapWebsiteNvarchar(128)會員映射的成員站點建立會員映射關系的成員網(wǎng)站串mRegDTDatetime會員注冊時間 mAreaCodeNvarchar(8) 區(qū)域代號 mBackNvarchar(64)預留字段預留擴展3.1.2. Member_WebSite(成員網(wǎng)站表)字段名稱數(shù)據(jù)類型說明備

18、注mWebIDint成員網(wǎng)站ID編號PK(主鍵)mWebNameNvarchar(32)成員網(wǎng)站名稱 mWebURLNvarchar(32)成員網(wǎng)站URL mWebIPNvarchar(16)成員網(wǎng)站IP mWebManagerNvarchar(16)成員網(wǎng)站管理員成員網(wǎng)站故障時，便于維護mWMTelNvarchar(16) 成員管理員電話 mBackNvarchar(64)預留字段預留擴展3.1.3. Member_Ticket(會員票據(jù)表)字段名稱數(shù)據(jù)類型說明備注mTicketIDNvarchar(240)驗證票編碼PK(主鍵)mPassIDBigi

19、nt會員ID號FK（關聯(lián)Pass_Member表mPassID）issueDTDatetime票簽發(fā)日期時間 availDTdatetime票有效日期時間 digitalSignNvarchar(32)票的數(shù)字簽名用于保證票的安全mBackNvarchar(64)預留字段預留擴展3.1.4. Member_SignRecord(會員登錄記錄表) 字段名稱數(shù)據(jù)類型說明備注IDBigint記錄ID號PK(主鍵)mPassIDBigint會員ID號FK（關聯(lián)Pass_Member表mPassID）signinDTDatetime登錄日期時間 signinWebIDint

20、登錄網(wǎng)站ID編號FK(關聯(lián)Member_WebSite表)signoutDTDatetime登出日期時間 signoutWebIDint登出網(wǎng)站ID編號FK(關聯(lián)Member_WebSite表)mBackNvarchar(64)預留字段預留擴展4.    服務器與成員網(wǎng)站接口規(guī)范a.注冊入口成員網(wǎng)站入口參數(shù)：AppID 、成員網(wǎng)站ID號Redirect Passport重定向地址;Passport回傳參數(shù): Ticket、cookie驗證票加密串PassID 、會員ID號、UserName 、會員名稱(Email)Web Service通信規(guī)范：若用戶從

21、成員網(wǎng)站A重定向到Passport服務器注冊會員時，Passport調(diào)用成員網(wǎng)站W(wǎng)eb Service接口，建立Passport數(shù)據(jù)庫與網(wǎng)站A數(shù)據(jù)庫中會員的關聯(lián)，關聯(lián)字段為Pass_Member表中的mPassID。Web Service名稱： pass_user_related所有者：成員網(wǎng)站調(diào)用者：Passport服務器輸入?yún)?shù)：PassID：字符串，表示會員ID號 輸出參數(shù)：Flag：布爾型，表示是否成功建立關聯(lián)b.登錄接口驗證cookie票Web Service規(guī)范：成員網(wǎng)站本地域存在cookie驗證票時，使用的接口。Web Service名稱：web_ticket_auth所有者：Passport服務器調(diào)用者：成員網(wǎng)站輸入?yún)?shù)：TicketCode 字符串 驗證票字符串