單點(diǎn)登錄平臺(tái)管理軟件~系統(tǒng)設(shè)計(jì)文檔

1、單點(diǎn)登錄平臺(tái)管理軟件 設(shè)計(jì)方案目錄一、 工程概述1二、 工程目標(biāo)1三、 必要性分析1四、定義2五、 工程需求31. 概述32. 功能需求分析42.1.系統(tǒng)實(shí)現(xiàn)構(gòu)造圖522.系統(tǒng)實(shí)現(xiàn)層次構(gòu)造52.3.功能需求624流程邏輯113. 數(shù)據(jù)庫(kù)設(shè)計(jì)134. 效勞器與成員接口規(guī) 15一、工程概述單點(diǎn)登錄Single Sign On ，簡(jiǎn)稱為SSO,它是一個(gè)用戶認(rèn)證 的過(guò)程，允許用戶一次性進(jìn)展認(rèn)證之后，就訪問(wèn)系統(tǒng)中不同的應(yīng)用； 而不需要訪問(wèn)每個(gè)應(yīng)用時(shí)，都重新輸入密碼。IBM對(duì)SSO有一個(gè)形象 的解釋“單點(diǎn)登錄、全網(wǎng)漫游它是一個(gè)用戶認(rèn)證的過(guò)程，允許用戶 一次性進(jìn)展認(rèn)證之后，就訪問(wèn)系統(tǒng)中不同的應(yīng)用；而不需要訪

2、問(wèn)每個(gè) 應(yīng)用時(shí)，都重新輸入密碼。IBM對(duì)SSO有一個(gè)形象的解釋“單點(diǎn)登錄、 全網(wǎng)漫游。SSO將一個(gè)企業(yè)部所有域中的用戶登錄和用戶管理集中到一起， SSC的好處顯而易見。對(duì)于部有多種應(yīng)用系統(tǒng)的企業(yè)來(lái)說(shuō)，單點(diǎn)登錄的效果是十清楚顯 的。很多國(guó)際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統(tǒng)設(shè)計(jì)的根本功能之。二、工程目標(biāo)通過(guò)建立與實(shí)現(xiàn)sso可以到達(dá)以下目標(biāo)：減少用戶在不同系統(tǒng)中登錄消耗的時(shí)間，減少用戶登錄出錯(cuò)的可 能性。實(shí)現(xiàn)平安的同時(shí)防止了處理和保存多套系統(tǒng)用戶的認(rèn)證信息。減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時(shí)間。增加了平安性：系統(tǒng)管理員有了更好的方法管理用戶， 包括可以 通過(guò)直接制止和刪除用戶來(lái)取消該用戶

3、對(duì)所有系統(tǒng)資源的訪問(wèn)權(quán)限。三、必要性分析鑒于單位運(yùn)營(yíng)的多個(gè)獨(dú)立稱為成員站點(diǎn)，每個(gè)都具有自己的身份驗(yàn)證機(jī)制，這樣勢(shì)必造成：生活中的一位用戶，如果要以會(huì)員的 身份訪問(wèn)，需要在每個(gè)上注冊(cè)，并且通過(guò)身份驗(yàn)證后，才能以會(huì)員的 身份訪問(wèn)；即使用戶以同樣的用戶名與密碼在每個(gè)上注冊(cè)時(shí)，雖然可以在防止用戶名與密碼的忘記和混淆方面有一定的作用，但是用戶在某一段時(shí)間訪問(wèn)多個(gè)成員站點(diǎn)或在成員站點(diǎn)間跳轉(zhuǎn)時(shí)，還是需要用戶登錄后，才能以會(huì)員的身份訪問(wèn)。這樣不僅給用戶帶來(lái)了不便，而且 成員為登錄付出了性能的代價(jià)；如果所有的成員，能夠?qū)崿F(xiàn)單點(diǎn)登錄，不僅在用戶體驗(yàn)方面有所 提高，而且真正表達(dá)了平臺(tái)的一體性。通過(guò)這種有機(jī)結(jié)合，能更

4、好地 表達(dá)公司大平臺(tái)，大渠道的理念。同時(shí)，這樣做也利于成員的相互促 進(jìn)與相互宣傳。正是出于上面的兩點(diǎn)，單點(diǎn)登錄系統(tǒng)的開發(fā)是必須的，是迫在眉 睫的。四、定義單點(diǎn)登錄系統(tǒng)提供所有成員的"單一登錄"入口。本系統(tǒng)的實(shí)質(zhì) 是含有身份驗(yàn)證狀態(tài)的變量，在各個(gè)成員間共用。單點(diǎn)登錄系統(tǒng)，包括認(rèn)證效勞器（稱Passport 效勞器），成員效勞器。會(huì)員：用戶通過(guò)Passport效勞器注冊(cè)成功后，就具有了會(huì)員身 份。單一登錄：會(huì)員第一次訪問(wèn)某個(gè)成員時(shí)，需要提供用戶名與密碼， 一旦通過(guò)Passport效勞器的身份驗(yàn)證，該會(huì)員在一定的時(shí)間，訪問(wèn) 任何成員都不需要再次登錄。Cookie驗(yàn)證票：含有身份驗(yàn)

5、證狀態(tài)的變量。由 Passport效勞器 生成，票含有用戶名，簽發(fā)日期時(shí)間，過(guò)期日期時(shí)間和用戶其它數(shù)據(jù)。五、工程需求1. 概述1注冊(cè)：a. 成員重定向到Passport效勞器的注冊(cè)頁(yè)面，并且?guī)в蟹祷豒RL 和成員ID。b. 通過(guò)Passport注冊(cè)頁(yè)面創(chuàng)立會(huì)員后，保存會(huì)員驗(yàn)證票到數(shù)據(jù) 庫(kù)和passport效勞器所在域cookie中。同時(shí)，在成員的數(shù)據(jù)庫(kù)上創(chuàng) 立與Passport效勞器數(shù)據(jù)庫(kù)中會(huì)員的映射關(guān)系。c. 重定向到成員，填寫會(huì)員個(gè)性信息。d. 保存會(huì)員個(gè)性信息，并把重定向傳入的驗(yàn)證票保存到本地cookie和創(chuàng)立Session狀態(tài)變量。2登錄:a、SSO系統(tǒng)要實(shí)現(xiàn)各個(gè)成員的無(wú)縫結(jié)合，只要會(huì)

6、員經(jīng)過(guò)了認(rèn)證 效勞器的登錄驗(yàn)證Passport效勞器，該會(huì)員訪問(wèn)其它任何的時(shí)， 都不需要再次登錄。b、會(huì)員在第一次登錄時(shí)，Passport效勞器驗(yàn)證身份之后，生成 的cookie驗(yàn)證票，只需保存到Passport效勞器所在域的cookie中， 不能采用向每個(gè)成員所在的域中寫 cookie,防止響應(yīng)時(shí)間太長(zhǎng)，給會(huì)員帶來(lái)不友好的瀏覽體驗(yàn)。同時(shí)，把下發(fā)給會(huì)員的cookie票保存到Passport效勞器的數(shù)據(jù)庫(kù)中，方便驗(yàn)證方式和會(huì)員行為統(tǒng)計(jì)的擴(kuò)展。c、 會(huì)員一經(jīng)通過(guò)身份驗(yàn)證，成功登錄了某個(gè)成員（假設(shè)為A）,需 要利用Session和cookie兩種方式保存會(huì)員已經(jīng)登錄的狀態(tài)。d、同一個(gè)瀏覽器進(jìn)程中，會(huì)

7、員在 A的頁(yè)面間跳轉(zhuǎn)時(shí)，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與Passport效勞器通信驗(yàn)證會(huì)員的身份。e、會(huì)員通過(guò)驗(yàn)證登錄了 A,假設(shè)會(huì)員從A跳轉(zhuǎn)或重新翻開瀏覽器 登錄其它成員（假設(shè)B），都需要與Passport效勞器通信驗(yàn)證會(huì)員的 票。但是，這次驗(yàn)證不要 Passport效勞器與數(shù)據(jù)庫(kù)中保存的驗(yàn)證票 進(jìn)展比擬驗(yàn)證，只需要驗(yàn)證Passport效勞器域中的cookie驗(yàn)證票據(jù) 有效即可。f、 對(duì)于驗(yàn)證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie 的性，完整性和不可抵賴性。g、假設(shè)果Passport效勞器Down掉后，仍可以直接登錄成員。3）登出、修改密碼、找回密碼

8、和成員間的跳轉(zhuǎn)，請(qǐng)查看IPO圖表中相應(yīng)的模塊描述。2. 功能需求分析SSC系統(tǒng)包括注冊(cè)、登錄、登出、密碼修改、密碼找回、成員間跳 轉(zhuǎn)與用戶管理模塊。系統(tǒng)機(jī)構(gòu)和模塊部處理功能，它主要包括層次構(gòu)造圖和IPO圖兩個(gè)局部。層次構(gòu)造圖描述了整個(gè)系統(tǒng)的構(gòu)造以及各個(gè)模塊之間的關(guān)系；IPO圖那么描述了在某個(gè)特定模塊部的輸入I、處理過(guò)程P、輸出0思想。2.1.系統(tǒng)實(shí)現(xiàn)構(gòu)造圖22 系統(tǒng)實(shí)現(xiàn)層次構(gòu)造驗(yàn)證狀SI管理LI驗(yàn)證票管理乂會(huì)員管理驗(yàn)證狀態(tài)管理廠會(huì)閔注冊(cè)會(huì)員登錄會(huì)員登出票據(jù)加解密及蠟證找回密碼隅站間跳轉(zhuǎn)23 功能需求231. 模塊名稱：會(huì)員注冊(cè)(1)輸入局部A. 重定向到Passport效勞器，帶有返回URL和

9、成員IDB. 輸入信息：、密碼、區(qū)域暫時(shí)沒有使用驗(yàn)證碼。C. 提交注冊(cè)信息，發(fā)出注冊(cè)請(qǐng)求。D. 注冊(cè)用戶從中獲得驗(yàn)證碼，利用驗(yàn)證號(hào)激活用戶，此時(shí)用戶將成為合法會(huì)員。E. 會(huì)員個(gè)性信息在成員填寫(2)處理描述是否可用的實(shí)時(shí)檢查，及時(shí)提示是否可用這里的可用僅僅是表 示符合的規(guī)，并且該沒有被注冊(cè)，不表示真正的可用。密碼平安級(jí)別實(shí)時(shí)提示。根據(jù)字符長(zhǎng)度、含有字符的種類，計(jì)算 平安級(jí)別，并實(shí)時(shí)提示用戶。平安級(jí)別分為：太短，差，良，優(yōu)四個(gè) 等級(jí)。根據(jù)區(qū)域數(shù)據(jù)庫(kù)，獲得區(qū)域信息下拉框，結(jié)合會(huì)員區(qū)域IP，實(shí)現(xiàn)區(qū)域自動(dòng)篩選，在允許的誤差圍不需手動(dòng)選擇區(qū)域。建立新會(huì)員:(a) 驗(yàn)證會(huì)員提交的注冊(cè)信息，假設(shè)合法，把用于

10、激活的驗(yàn)證碼 發(fā)送到會(huì)員測(cè)試使用的中。(b) 會(huì)員使用驗(yàn)證碼激活，假設(shè)激活成功，保存會(huì)員信息和會(huì)員 驗(yàn)證票到數(shù)據(jù)庫(kù)(Passport效勞器數(shù)據(jù)庫(kù)),并且驗(yàn)證票也保存到 cookie中。同時(shí)調(diào)用成員的 WebService接口，把剛剛產(chǎn)生的 Passid 保存到成員數(shù)據(jù)庫(kù)中建立映射關(guān)系。(c) 重定向到成員。(d) 成員接收數(shù)據(jù)，提示會(huì)員填寫個(gè)性信息，并提交到成員效勞(e) 保存?zhèn)€性信息與接收的會(huì)員驗(yàn)證信息到成員數(shù)據(jù)庫(kù)與cookie 中，同時(shí)在Session中保存會(huì)員已驗(yàn)證的狀態(tài)信息。 導(dǎo)航會(huì)員到某個(gè)頁(yè)面。(3)輸出局部A. Passort效勞器保存新會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)中。B. 成員W

11、ebService，在成員數(shù)據(jù)庫(kù)中添加會(huì)員信息，利用Passid 建立與Passport效勞器上會(huì)員的映射關(guān)系，并返回操作成功或失敗 狀態(tài)信息。C. 修改成員數(shù)據(jù)庫(kù)中會(huì)員的個(gè)性信息。D. 保存會(huì)員驗(yàn)證票到cookie中，同時(shí)保存會(huì)員通過(guò)驗(yàn)證的狀態(tài) 至U Session 中。232. 模塊名稱：會(huì)員登錄(1) 輸入局部A. 會(huì)員第一次登錄時(shí)輸入Email和密碼。B. 提交會(huì)員信息到Passport效勞器。說(shuō)明：加載登錄框之前，成員會(huì)首先與 Passport效勞器通信， 獲得會(huì)員是否已經(jīng)登錄過(guò)，根據(jù)狀態(tài)加載登錄框。(2) 處理描述1) 在成員 A含有登錄框頁(yè)面的head區(qū)，利用vscript sr

12、c二meber_auth.aspx 在頁(yè)頭嵌入.aspx 文件成員上的文 件a.頁(yè)面首先查看Session中的狀態(tài)變量，如果狀態(tài)變量為 NULL,那么查看cookie中的狀態(tài)變量b.根據(jù)Session與Cookie中狀態(tài)變量的情況，實(shí)現(xiàn)與 Passport效勞器上的Web Service通信，確定會(huì)員是否已經(jīng)登錄。2）根據(jù)會(huì)員登錄與否，加載登錄框。3）如果沒有登錄，顯示會(huì)員輸入 Email和密碼的登錄框。4）會(huì)員提交信息到Passport效勞器上的 Web Service ,通過(guò)驗(yàn)證后生成cookie票，并返回登錄狀態(tài)值和cookie票到成員。 成員保存登錄狀態(tài)變量與cookie票。說(shuō)明：會(huì)員

13、通過(guò)任何一個(gè)成員登錄成功后，表示已經(jīng)登錄了所有 的成員。（3）輸出局部根據(jù)登錄狀態(tài)加載登錄框1）在Passport效勞器上創(chuàng)立會(huì)員驗(yàn)證票，保存到數(shù)據(jù)庫(kù)與 cookie 中。2）Passport Web Service 返回登錄狀態(tài)值與cookie驗(yàn)證票到 成員。3）保存會(huì)員驗(yàn)證票到cookie中，同時(shí)保存會(huì)員通過(guò)驗(yàn)證的狀態(tài)至U Session 中。233. 模塊名稱：會(huì)員登出（1）輸入局部1）成員重定向到Passport效勞器的登出頁(yè)面，并帶有返回URL, 成員ID和驗(yàn)證票。（2）處理描述1）在成員A重定向到Passport效勞器，Passport接收cookie 驗(yàn)證票,并驗(yàn)證是否合法。2）

14、Passport修改數(shù)據(jù)庫(kù)中驗(yàn)證票使之失效，去除 cookie中的 驗(yàn)證票。3）重定向到成員，去除cookie中的驗(yàn)證票和Session中登錄狀 態(tài)變量。4）導(dǎo)航會(huì)員到某個(gè)頁(yè)面。（3）輸出局部1）.修改數(shù)據(jù)庫(kù)中的驗(yàn)證票使之失效，并去除 cookie。2）2.重定向到成員。234. 模塊名稱：修改密碼（1）輸入局部1）成員重定向到Passport效勞器找回密碼頁(yè)面，并帶有驗(yàn)證 cookie 票。2）會(huì)員輸入Email地址3）提交數(shù)據(jù)4）激活新密碼（將收到一個(gè)激活密碼的URL）（2）處理技術(shù)1）在成員A重定向到Passport效勞器，Passport接收cookie 驗(yàn)證票,并驗(yàn)證是否合法。2）P

15、assport為會(huì)員生成新密碼，并向會(huì)員中發(fā)送一個(gè)激活密碼的URL3) 激活新密碼4) 使用新的密碼登錄(3)輸出局部1) 為會(huì)員生成新密碼，但未激活。2) 2.提示會(huì)員收激活新密碼，激活前方可使用24 流程邏輯(1)會(huì)員登錄流程圖貝 Uh itUt'Mrifi珂I皚町麗調(diào)叵X嚴(yán)円昭男鼻11 rrTPr h3H|»in JE 祺IIRIJ戌射制咕保磺收的驗(yàn)證 梅井耙己餐怦錄狀霑眾樣 fESnMni1!1(2)會(huì)員登出流程圖m fiwiihhki 松艮fit 血曲冏巧 LI尿Shi*訓(xùn)的吹毎吏*(3) 會(huì)員修改密碼流程圖lLHK山債naipwl-1沌虢置-止嶽1呻門菰飪砂匹離C

16、ZLJ(4) 會(huì)員找回密碼流程圖3. 數(shù)據(jù)庫(kù)設(shè)計(jì)PassjMember會(huì)員表）字段名稱數(shù)據(jù)類型說(shuō)明備注mPassIDBigi nt會(huì)員ID號(hào)自增型，PK（主鍵）mNameNvarchar(64)會(huì)員名Email作為會(huì)員名創(chuàng)立索 引mPwdNvarchar(32)會(huì)員密碼數(shù)據(jù)庫(kù)中保存MD5!算的結(jié) 果mGBPwdNvarchar(32)會(huì)員找回密碼會(huì)員找回密碼時(shí)，生成的密 碼，會(huì)員激活后覆蓋會(huì)員密 碼mWakeTi nyi nt會(huì)員喚醒當(dāng)和成員建立映射關(guān)系后， 喚醒該會(huì)員mMap WebsiteNvarchar(12會(huì)員映射的成員站點(diǎn)建立會(huì)員映射關(guān)系的成員8)串mRegDTDatetime會(huì)員注

17、冊(cè)時(shí)間mAreaCodeNvarchar(8)區(qū)域代號(hào)mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展3.12 Member_WebSite成員表)字段名稱數(shù)據(jù)類型說(shuō)明備注mWeblDint成員ID編號(hào)PK（主鍵）mWebNameNvarchar(32)成員名稱mWebURLNvarchar(32)成員URLmWebIPNvarchar(16)成員IPmWebMa nagerNvarchar(16)成員管理員成員故障時(shí)，便于維護(hù)mWMTelNvarchar(16)成員管理員mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展會(huì)員票據(jù)表)字段名稱數(shù)據(jù)類型說(shuō)明備注mTicketIDNvarchar

18、(240)驗(yàn)證票編碼PK（主鍵）mPassIDBigi nt會(huì)員ID號(hào)FK關(guān)聯(lián) Pass_Membe表 mPassIDissueDTDatetime票簽發(fā)日期時(shí)間availDTdatetime票有效日期時(shí)間digitalSig nNvarchar(32)票的數(shù)字簽名用于保證票的平安mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展3.14 Member_SignRecord會(huì)員登錄記錄表）字段名稱數(shù)據(jù)類型說(shuō)明備注IDBigi nt記錄ID號(hào)PK（主鍵）mPassIDBigi nt會(huì)員ID號(hào)FK關(guān)聯(lián) Pass_Membe表 mPassIDsig ninDTDatetime登錄日期時(shí)間sig ni

19、n WebIDint登錄ID編號(hào)FK(關(guān)聯(lián) Member_WebSite 表)sig noutDTDatetime登出日期時(shí)間sig noutWeblDint登出ID編號(hào)FK(關(guān)聯(lián) Member_WebSite 表)mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展4. 效勞器與成員接口規(guī)a. 注冊(cè)入口成員入口參數(shù)：AppID、成員ID號(hào)Redirect Passport 重定向地址;Passport回傳參數(shù)：Ticket、cookie驗(yàn)證票加密串 PassID、會(huì) 員ID號(hào)、UserName會(huì)員名稱（Email）Web Service 通信規(guī)：假設(shè)用戶從成員 A重定向到 Passport效勞

20、器注冊(cè)會(huì)員時(shí)，Passport調(diào)用成員 Web Service接口，建立 Passport數(shù)據(jù)庫(kù)與A數(shù) 據(jù)庫(kù)中會(huì)員的關(guān)聯(lián)，關(guān)聯(lián)字段為 Pass_Membe表中的mPassIDWeb Service 名稱：pass_user_related所有者：成員調(diào)用者：Passport效勞器輸入?yún)?shù)：PassID:字符串，表示會(huì)員ID號(hào)輸出參數(shù)：Flag :布爾型，表示是否成功建立關(guān)聯(lián)b. 登錄接口驗(yàn)證cookie票WebService規(guī)：成員本地域存在cookie驗(yàn)證票 時(shí)，使用的接口。Web Service 名稱：web_ticket_auth所有者：Passport效勞器調(diào)用者：成員輸入?yún)?shù)：TicketCode字符串驗(yàn)證票字符