單點(diǎn)登錄平臺(tái)管理軟件-系統(tǒng)設(shè)計(jì)文檔

1、單點(diǎn)登錄平臺(tái)管理軟件設(shè)計(jì)方案目錄一、項(xiàng)目概述錯(cuò)誤！未定義書(shū)簽。二、項(xiàng)目目標(biāo)錯(cuò)誤！未定義書(shū)簽。三、必要性分析錯(cuò)誤！未定義書(shū)簽。四、定義錯(cuò)誤!未定義書(shū)簽。五、項(xiàng)目需求錯(cuò)誤！未定義書(shū)簽。1 .概述錯(cuò)誤！未定義書(shū)簽。2 .功能需求分析錯(cuò)誤！未定義書(shū)簽。.系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)圖錯(cuò)誤！未定義書(shū)簽。.系統(tǒng)實(shí)現(xiàn)層次結(jié)構(gòu)錯(cuò)誤！未定義書(shū)簽。.功能需求錯(cuò)誤！未定義書(shū)簽。.流程邏輯錯(cuò)誤！未定義書(shū)簽。3 .數(shù)據(jù)庫(kù)設(shè)計(jì)錯(cuò)誤！未定義書(shū)簽。4 .服務(wù)器與成員網(wǎng)站接口規(guī)范錯(cuò)誤！未定義書(shū)簽。一、項(xiàng)目概述單點(diǎn)登錄(SingleSignOn),簡(jiǎn)稱(chēng)為SSQ它是一個(gè)用戶(hù)認(rèn)證的過(guò)程，允許用戶(hù)一次性進(jìn)行認(rèn)證之后，就訪問(wèn)系統(tǒng)中不同的應(yīng)用；而不需要訪

2、問(wèn)每個(gè)應(yīng)用時(shí)，都重新輸入密碼。舊M對(duì)SSO有一個(gè)形象的解釋“單點(diǎn)登錄、全網(wǎng)漫游”它是一個(gè)用戶(hù)認(rèn)證的過(guò)程，允許用戶(hù)一次性進(jìn)行認(rèn)證之后，就訪問(wèn)系統(tǒng)中不同的應(yīng)用；而不需要訪問(wèn)每個(gè)應(yīng)用時(shí)，都重新輸入密碼。舊M對(duì)SSO有一個(gè)形象的解釋“單點(diǎn)登錄、全網(wǎng)漫游”。SSO將一個(gè)企業(yè)內(nèi)部所有域中的用戶(hù)登錄和用戶(hù)帳號(hào)管理集中到一起，SSO的好處顯而易見(jiàn)。對(duì)于內(nèi)部有多種應(yīng)用系統(tǒng)的企業(yè)來(lái)說(shuō)， 單點(diǎn)登錄的效果是十分明顯的。很多國(guó)際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統(tǒng)設(shè)計(jì)的基本功能之二、項(xiàng)目目標(biāo)通過(guò)建設(shè)與實(shí)現(xiàn)SSO可以達(dá)到以下目標(biāo)：減少用戶(hù)在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間， 減少用戶(hù)登錄出錯(cuò)的可能性。實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套

3、系統(tǒng)用戶(hù)的認(rèn)證信息。減少了系統(tǒng)管理員增加、刪除用戶(hù)和修改用戶(hù)權(quán)限的時(shí)間。增加了安全性：系統(tǒng)管理員有了更好的方法管理用戶(hù)，包括可以通過(guò)直接禁止和刪除用戶(hù)來(lái)取消該用戶(hù)對(duì)所有系統(tǒng)資源的訪問(wèn)權(quán)限。三、必要性分析鑒于單位運(yùn)營(yíng)的多個(gè)獨(dú)立網(wǎng)站（稱(chēng)為成員站點(diǎn)），每個(gè)網(wǎng)站都具有自己的身份驗(yàn)證機(jī)制，這樣勢(shì)必造成：生活中的一位用戶(hù)，如果要以會(huì)員的身份訪問(wèn)網(wǎng)站，需要在每個(gè)網(wǎng)站上注冊(cè)，并且通過(guò)身份驗(yàn)證后，才能以會(huì)員的身份訪問(wèn)網(wǎng)站； 即使用戶(hù)以同樣的用戶(hù)名與密碼在每個(gè)網(wǎng)站上注冊(cè)時(shí)，雖然可以在避免用戶(hù)名與密碼的忘記和混淆方面有一定的作用，但是用戶(hù)在某一段時(shí)間訪問(wèn)多個(gè)成員站點(diǎn)或在成員站點(diǎn)間跳轉(zhuǎn)時(shí)，還是需要用戶(hù)登錄后，才能以會(huì)

4、員的身份訪問(wèn)網(wǎng)站。這樣不僅給用戶(hù)帶來(lái)了不便，而且成員網(wǎng)站為登錄付出了性能的代價(jià)；如果所有的成員網(wǎng)站，能夠?qū)崿F(xiàn)單點(diǎn)登錄，不僅在用戶(hù)體驗(yàn)方面有所提高，而且真正體現(xiàn)了平臺(tái)的一體性。通過(guò)這種有機(jī)結(jié)合，能更好地體現(xiàn)公司大平臺(tái)，大渠道的理念。同時(shí)，這樣做也利于成員網(wǎng)站的相互促進(jìn)與相互宣傳。正是出于上面的兩點(diǎn)，單點(diǎn)登錄系統(tǒng)的開(kāi)發(fā)是必須的，是迫在眉睫的。四、定義單點(diǎn)登錄系統(tǒng)提供所有成員網(wǎng)站的“單一登錄”入口。本系統(tǒng)的實(shí)質(zhì)是含有身份驗(yàn)證狀態(tài)的變量，在各個(gè)成員網(wǎng)站間共用。單點(diǎn)登錄系統(tǒng)，包括認(rèn)證服務(wù)器（稱(chēng)Passport服務(wù)器）,成員網(wǎng)站服務(wù)器。會(huì)員：用戶(hù)通過(guò)Passport服務(wù)器注冊(cè)成功后，就具有了會(huì)員身份。單一

5、登錄：會(huì)員第一次訪問(wèn)某個(gè)成員網(wǎng)站時(shí)，需要提供用戶(hù)名與密碼，一旦通過(guò)Passport服務(wù)器的身份驗(yàn)證，該會(huì)員在一定的時(shí)間內(nèi)，訪問(wèn)任何成員網(wǎng)站都不需要再次登錄。Cookie驗(yàn)證票：含有身份驗(yàn)證狀態(tài)的變量。由Passport服務(wù)器生成，票含有用戶(hù)名，簽發(fā)日期時(shí)間，過(guò)期日期時(shí)間和用戶(hù)其它數(shù)據(jù)。五、項(xiàng)目需求1.概述(1)注冊(cè)：a.成員網(wǎng)站重定向到Passport服務(wù)器的注冊(cè)頁(yè)面，并且?guī)в蟹祷豒RL和成員網(wǎng)站ID。b.通過(guò)Passport注冊(cè)頁(yè)面創(chuàng)建會(huì)員后，保存會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)和passport服務(wù)器所在域cookie中。同時(shí)，在成員網(wǎng)站的數(shù)據(jù)庫(kù)上創(chuàng)建與Passport服務(wù)器數(shù)據(jù)庫(kù)中會(huì)員的映射關(guān)系。c.

6、重定向到成員網(wǎng)站，填寫(xiě)會(huì)員個(gè)性信息。d.保存會(huì)員個(gè)性信息，并把重定向傳入的驗(yàn)證票保存到本地cookie和創(chuàng)建Session狀態(tài)變量。(2)登錄：a、SSO系統(tǒng)要實(shí)現(xiàn)各個(gè)成員網(wǎng)站的無(wú)縫結(jié)合，只要會(huì)員經(jīng)過(guò)了認(rèn)證服務(wù)器的登錄驗(yàn)證(Passport服務(wù)器)， 該會(huì)員訪問(wèn)其它任何的網(wǎng)站時(shí)，都不需要再次登錄。b、 會(huì)員在第一次登錄時(shí)，Passport服務(wù)器驗(yàn)證身份之后， 生成的cookie驗(yàn)證票，只需保存到Passport服務(wù)器所在域的cookie中， 不能采用向每個(gè)成員網(wǎng)站所在的域中寫(xiě)cookie,防止響應(yīng)時(shí)間太長(zhǎng)，給會(huì)員帶來(lái)不友好的瀏覽體驗(yàn)。同時(shí)，把下發(fā)給會(huì)員的cookie票保存至UPassport服

7、務(wù)器的數(shù)據(jù)庫(kù)中，方便驗(yàn)證方式和會(huì)員行為統(tǒng)計(jì)的擴(kuò)展。c、會(huì)員一經(jīng)通過(guò)身份驗(yàn)證，成功登錄了某個(gè)成員網(wǎng)站（假設(shè)為網(wǎng)站A）,需要利用Session和cookie兩種方式保存會(huì)員已經(jīng)登錄的狀od、同一個(gè)瀏覽器進(jìn)程中，會(huì)員在網(wǎng)站A的頁(yè)面間跳轉(zhuǎn)時(shí)，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與Passport服務(wù)器通信驗(yàn)證會(huì)員的身份。e、會(huì)員通過(guò)驗(yàn)證登錄了網(wǎng)站A,若會(huì)員從網(wǎng)站A跳轉(zhuǎn)或重新打開(kāi)瀏覽器登錄其它成員網(wǎng)站（假設(shè)網(wǎng)站B）,都需要與Passport服務(wù)器通信驗(yàn)證會(huì)員的票。但是，這次驗(yàn)證不要Passport服務(wù)器與數(shù)據(jù)庫(kù)中保存的驗(yàn)證票進(jìn)行比較驗(yàn)證，只需要驗(yàn)證Passport服務(wù)器域中的cook

8、ie驗(yàn)證票據(jù)有效即可。f、對(duì)于驗(yàn)證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie的機(jī)密性，完整性和不可抵賴(lài)性。g、若果Passport服務(wù)器Down掉后，仍可以直接登錄成員網(wǎng)站。3）登出、修改密碼、找回密碼和成員網(wǎng)站間的跳轉(zhuǎn)，請(qǐng)查看IPO圖表中相應(yīng)的模塊描述。2.功能需求分析SSO系統(tǒng)包括注冊(cè)、登錄、登出、密碼修改、密碼找回、成員網(wǎng)站間跳轉(zhuǎn)與用戶(hù)管理模塊。系統(tǒng)機(jī)構(gòu)和模塊內(nèi)部處理功能，它主要包括層次結(jié)構(gòu)圖和IPO圖兩個(gè)部分。層次結(jié)構(gòu)圖描述了整個(gè)系統(tǒng)的結(jié)構(gòu)以及各個(gè)模塊之間的關(guān)系；IPO圖則描述了在某個(gè)特定模塊內(nèi)部的輸入（I）、處理過(guò)程（P）、輸出（O）思想2.1.系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)圖單點(diǎn)登錄系統(tǒng)

9、所有成員用站共用狀態(tài)信息，成員網(wǎng)站在不同的域2.2.系統(tǒng)實(shí)現(xiàn)層次結(jié)構(gòu)2.3.功能需求2.3.1,模塊名稱(chēng)：會(huì)員注冊(cè)(1)輸入部分A,重定向到Passport服務(wù)器，帶有返回URL和成員網(wǎng)站IDB.輸入信息：郵箱、密碼、區(qū)域(暫時(shí)沒(méi)有使用驗(yàn)證碼)。C.提交注冊(cè)信息，發(fā)出注冊(cè)請(qǐng)求。rJ J立本3030統(tǒng)做于SSSS系廣工網(wǎng)站澳立模驗(yàn)證狀態(tài)管理L/會(huì)員首理-留擴(kuò)展)：AhKTFr桅二、*工.m咕獨(dú)立模塊驗(yàn)證狀態(tài)管理度會(huì)員營(yíng)理i網(wǎng)站已有會(huì)員整合闞站間跳轉(zhuǎn)I I票據(jù)加解密及嗑證密碼修改一會(huì)員登出會(huì)員登錄會(huì)員.注冊(cè)D.注冊(cè)用戶(hù)從郵件中獲得驗(yàn)證碼，利用驗(yàn)證號(hào)激活用戶(hù)，此時(shí)用戶(hù)將成為合法會(huì)員。E會(huì)員個(gè)性信息(

10、在成員網(wǎng)站填寫(xiě))(2)處理描述郵箱是否可用的實(shí)時(shí)檢查， 及時(shí)提示郵箱是否可用(這里的可用僅僅是表示符合郵箱的規(guī)范，并且該郵箱沒(méi)有被注冊(cè)，不表示真正的可用)。密碼安全級(jí)別實(shí)時(shí)提示。根據(jù)字符長(zhǎng)度、含有字符的種類(lèi)，計(jì)算安全級(jí)別，并實(shí)時(shí)提示用戶(hù)。安全級(jí)別分為：太短，差，良，優(yōu)四個(gè)等級(jí)。根據(jù)區(qū)域數(shù)據(jù)庫(kù)，獲得區(qū)域信息下拉框，結(jié)合會(huì)員區(qū)域IP,實(shí)現(xiàn)區(qū)域自動(dòng)篩選，在允許的誤差范圍內(nèi)不需手動(dòng)選擇區(qū)域。建立新會(huì)員:(a)驗(yàn)證會(huì)員提交的注冊(cè)信息，若合法，把用于激活帳號(hào)的驗(yàn)證碼發(fā)送到會(huì)員測(cè)試使用的郵箱中。(b)會(huì)員使用驗(yàn)證碼激活帳號(hào)，若激活成功，保存會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)(Passport服務(wù)器數(shù)據(jù)庫(kù)),并且驗(yàn)

11、證票也保存到cookie中。同時(shí)調(diào)用成員網(wǎng)站的WebService接口， 把剛才產(chǎn)生的Passid保存到成員網(wǎng)站數(shù)據(jù)庫(kù)中(建立映射關(guān)系)。(c)重定向到成員網(wǎng)站。(d)成員網(wǎng)站接收數(shù)據(jù)，提示會(huì)員填寫(xiě)個(gè)性信息，并提交到成員網(wǎng)站服務(wù)器(e)保存?zhèn)€性信息與接收的會(huì)員驗(yàn)證信息到成員網(wǎng)站數(shù)據(jù)庫(kù)與cookie中，同時(shí)在Session中保存會(huì)員已驗(yàn)證的狀態(tài)信息。導(dǎo)航會(huì)員到某個(gè)頁(yè)面。(3)輸出部分A.Passort服務(wù)器保存新會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)中。B.成員網(wǎng)站W(wǎng)ebService,在成員網(wǎng)站數(shù)據(jù)庫(kù)中添加會(huì)員信息，利用Passid建立與Passport服務(wù)器上會(huì)員的映射關(guān)系，并返回操作成功或失敗狀態(tài)信

12、息。C.修改成員網(wǎng)站數(shù)據(jù)庫(kù)中會(huì)員的個(gè)性信息。D.保存會(huì)員驗(yàn)證票到cookie中，同時(shí)保存會(huì)員通過(guò)驗(yàn)證的狀態(tài)至USession中。2.3.2.模塊名稱(chēng)：會(huì)員登錄(1)輸入部分A.會(huì)員第一次登錄時(shí)輸入Email和密碼。B.提交會(huì)員信息到Passport服務(wù)器。說(shuō)明：加載登錄框之前，成員網(wǎng)站會(huì)首先與Passport服務(wù)器通信，獲得會(huì)員是否已經(jīng)登錄過(guò)，根據(jù)狀態(tài)加載登錄框。(2)處理描述1)在成員網(wǎng)站A含有登錄框頁(yè)面的K,利用在頁(yè)頭嵌入.aspx文件(成員網(wǎng)站上的文件)。a.頁(yè)面首先查看Session中的狀態(tài)變量，如果狀態(tài)變量為NULL,則查看cookie中的狀態(tài)變量。b.根據(jù)Session與Cooki

13、e中狀態(tài)變量的情況， 實(shí)現(xiàn)與Passport服務(wù)器上的WebService通信，確定會(huì)員是否已經(jīng)登錄。2)根據(jù)會(huì)員登錄與否，加載登錄框。3)如果沒(méi)有登錄，顯示會(huì)員輸入Email和密碼的登錄框。4)會(huì)員提交信息到Passport服務(wù)器上的WebService通過(guò)驗(yàn)證后生成cookie票，并返回登錄狀態(tài)值和cookie票到成員網(wǎng)站。成員網(wǎng)站保存登錄狀態(tài)變量與cookie票。說(shuō)明：會(huì)員通過(guò)任何一個(gè)成員網(wǎng)站登錄成功后，表示已經(jīng)登錄了所有的成員網(wǎng)站。(3)輸出部分根據(jù)登錄狀態(tài)加載登錄框1)在Passport服務(wù)器上創(chuàng)建會(huì)員驗(yàn)證票，保存到數(shù)據(jù)庫(kù)與cookie中。2)PassportWebService返回

14、登錄態(tài)值與cookie驗(yàn)證票到成員網(wǎng)站。3)保存會(huì)員驗(yàn)證票到cookie中，同時(shí)保存會(huì)員通過(guò)驗(yàn)證的狀態(tài)到Session中。2.3.3.模塊名稱(chēng)：會(huì)員登由(1)輸入部分1)成員網(wǎng)站重定向到Passport服務(wù)器的登出頁(yè)面，并帶有返回URL成員網(wǎng)站ID和驗(yàn)證票。(2)處理描述1)在成員網(wǎng)站A重定向到Passport服務(wù)器，Passport接收cookie驗(yàn)證票，并驗(yàn)證是否合法。2)Passport修改數(shù)據(jù)庫(kù)中驗(yàn)證票使之失效，清除cookie中的驗(yàn)證票。3)重定向到成員網(wǎng)站，清除cookie中的驗(yàn)證票和Session中登錄狀態(tài)變量。4)導(dǎo)航會(huì)員到某個(gè)頁(yè)面。(3)輸出部分1).修改數(shù)據(jù)庫(kù)中的驗(yàn)證票使之

15、失效，并清除cookie。2)2.重定向到成員網(wǎng)站。3)3.4.模塊名稱(chēng)：修改密碼(1)輸入部分1)成員網(wǎng)站重定向到Passport服務(wù)器找回密碼頁(yè)面，并帶有驗(yàn)證cookie票。2)會(huì)員輸入Email地址3)提交數(shù)據(jù)4)激活新密碼(郵箱將收到一個(gè)激活密碼的URL)(2)處理技術(shù)1)在成員網(wǎng)站A重定向到Passport服務(wù)器，Passport接收cookie驗(yàn)證票，并驗(yàn)證是否合法。2)Passport為會(huì)員生成新密碼，并向會(huì)員郵箱中發(fā)送一個(gè)激活密碼的URL3)激活新密碼4)使用新的密碼登錄(3)輸出部分1)為會(huì)員生成新密碼，但未激活。2)2.提示會(huì)員收郵件激活新密碼，激活后方可使用。2.4.流程

16、邏輯(1)會(huì)員登錄流程圖(2)會(huì)員登出流程圖(3)會(huì)員修改密碼流程圖點(diǎn)發(fā)睥孫I建恨在iElft網(wǎng)定向刎也定向利城揖網(wǎng)玷（4）會(huì)員找回密碼流程圖HS9即M亂開(kāi)生福隹晶達(dá)RSi的科碼Q*B3.數(shù)據(jù)庫(kù)設(shè)計(jì)3.1.1.PassJMember(會(huì)員表)字段名稱(chēng)數(shù)據(jù)類(lèi)型說(shuō)明備注mPassIDBigint會(huì)員 ID 號(hào)自增型，PK 住鍵）mNameNvarchar(64)會(huì)員名Email 作為會(huì)員名（創(chuàng)建索引）mPwdNvarchar(32)會(huì)員密碼數(shù)據(jù)庫(kù)中保存 MD5 運(yùn)算的結(jié)果mGBPwdNvarchar(32)會(huì)員找回密碼會(huì)員找回密碼時(shí)，生成的密碼， 會(huì)員激活后覆蓋會(huì)員密碼mWakeTinyint會(huì)員

17、喚醒當(dāng)和成貝網(wǎng)站建立映射美系后，喚醒該會(huì)員mMapWebsiteNvarchar(128)會(huì)員映射的成員站點(diǎn)建立會(huì)員映射關(guān)系的成員網(wǎng)站申mRegDTDatetime會(huì)員注冊(cè)時(shí)間mAreaCodeNvarchar(8)區(qū)域代號(hào)mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展3.1.2.Member_WebS1e(成員網(wǎng)站表)字段名稱(chēng)數(shù)據(jù)類(lèi)型說(shuō)明備注mWebIDint成員網(wǎng)站 ID 編號(hào)PK 住鍵）mWebNameNvarchar(32)成員網(wǎng)站名稱(chēng)mWebURLNvarchar(32)成員網(wǎng)站 URLmWebIPNvarchar(16)成員網(wǎng)站 IPmWebManagerNvarchar(16

18、)成員網(wǎng)站管理員成員網(wǎng)站故障時(shí)，便于維護(hù)mWMTelNvarchar(16)成員管理員電話mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展3.1.3.Member_Ticket(會(huì)員票據(jù)表)字段名稱(chēng)數(shù)據(jù)類(lèi)型說(shuō)明備注mTicketIDNvarchar(240)驗(yàn)證票編碼PK 住鍵）mPassIDBigint會(huì)員 ID 號(hào)FK 關(guān)聯(lián) Pass_Member 表 mPassIDissueDTDatetime票簽發(fā)日期時(shí)間availDTdatetime票有效日期時(shí)間digitalSignNvarchar(32)票的數(shù)字簽名用于保證票的安全mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展3.1.4.

19、Member_SignRecord 會(huì)員登錄記錄表)字段名稱(chēng)數(shù)據(jù)類(lèi)型說(shuō)明備注IDBigint記錄 ID 號(hào)PK 住鍵)mPassIDBigint會(huì)員 ID 號(hào)FK 關(guān)聯(lián) Pass_Member 表 mPassIDsigninDTDatetime登錄日期時(shí)間signinWebIDint登家網(wǎng)站 ID 編FK聯(lián) Member_WebSite 表)signoutDTDatetime登出日期時(shí)間signoutWebIDint登出網(wǎng)站 ID 編號(hào)FK聯(lián) Member_WebSite 表)mBackNvarchar(64)預(yù)留字段預(yù)留擴(kuò)展4.服務(wù)器與成員網(wǎng)站接口規(guī)范a.注冊(cè)入口成員網(wǎng)站入口參數(shù)：AppID

20、、成員網(wǎng)站ID號(hào)RedirectPassport重定向地址;Passport回傳參數(shù)：Ticket、cookie驗(yàn)證票加密串PassID、會(huì)員ID號(hào)、UserName、會(huì)員名稱(chēng)(Email)WebService通信規(guī)范：若用戶(hù)從成員網(wǎng)站A重定向到Passport服務(wù)器注冊(cè)會(huì)員時(shí)，Passport調(diào)用成員網(wǎng)站W(wǎng)ebService接口， 建立Passport數(shù)據(jù)庫(kù)與網(wǎng)站A數(shù)據(jù)庫(kù)中會(huì)員的關(guān)聯(lián)，關(guān)聯(lián)字段為Pass_Member表中的mPassIDWebService名稱(chēng)：pass_user_related所有者：成員網(wǎng)站調(diào)用者：Passport服務(wù)器輸入?yún)?shù)：PassID字符串，表示會(huì)員ID號(hào)輸出參數(shù)：Flag：布爾型，表示是否成功建立關(guān)聯(lián)b.登錄接口驗(yàn)證cookie票WebService規(guī)范：成員網(wǎng)站本地域存在cookie驗(yàn)證票時(shí)，使用的接口。WebService名稱(chēng)：web_ticket_auth所有者：Passport服務(wù)器調(diào)用者：成員網(wǎng)站輸入?yún)?shù)：TicketCode字符串驗(yàn)證票字