SSO單點(diǎn)登錄概要設(shè)計(jì)說明書

1、ssosso 單點(diǎn)登錄概要設(shè)計(jì)說明書單點(diǎn)登錄概要設(shè)計(jì)說明書 v1.0v1.0 文文件件更更改改摘摘要要： 日期日期版本號(hào)版本號(hào)修訂說明修訂說明修訂人修訂人審核人審核人批準(zhǔn)人批準(zhǔn)人 2011-5-191.0 創(chuàng)建孫俊虎 目錄目錄 1.引言引言.3 1.1 編寫目的.3 1.1.1 描述.3 1.1.2 存在的問題.3 1.1.3 解決技術(shù).3 1.2 背景.3 1.3 術(shù)語.3 1.4 預(yù)期讀者與閱讀建議.3 1.5 cas 運(yùn)行原理.3 2.總體設(shè)計(jì)總體設(shè)計(jì).4 2.1 設(shè)計(jì)目標(biāo).4 2.2 運(yùn)行環(huán)境.5 2.3 網(wǎng)絡(luò)結(jié)構(gòu).5 2.4 總體設(shè)計(jì)思路和處理流程.5 2.5 對(duì)象關(guān)系圖.5 2.6

2、 系統(tǒng)約定.5 2.7 模塊結(jié)構(gòu)設(shè)計(jì).5 2.8 尚未解決的問題.7 3.接口設(shè)計(jì)（暫略）接口設(shè)計(jì)（暫略）.7 3.1 用戶接口（暫略）.7 3.2 外部接口（暫略）.7 3.3 內(nèi)部接口（暫略）.7 4.界面總體設(shè)計(jì)界面總體設(shè)計(jì).7 1. 引引言言 1.1 編編寫寫目目的的 1.1.1 描描述述 隨著信息化進(jìn)一步發(fā)展和企業(yè)的業(yè)務(wù)運(yùn)營需要，企業(yè)內(nèi)部的應(yīng)用系統(tǒng)越來越多。這些 系統(tǒng)往往有著獨(dú)立的用戶認(rèn)證模塊和機(jī)制，用戶不得不記住每一個(gè)系統(tǒng)的登錄帳號(hào)和密碼， 在使用不同的系統(tǒng)時(shí)，必須重復(fù)登錄，給用戶的使用造成諸多不便。針對(duì)這種情況，單點(diǎn) 登錄 (single sign on)1模型應(yīng)運(yùn)而生，同時(shí)不斷

3、地應(yīng)用到企業(yè)的業(yè)務(wù)系統(tǒng)中。在單點(diǎn)登錄系統(tǒng) 中，用戶只需在登錄時(shí)提供一次用戶認(rèn)證信息，通過認(rèn)證以后，在訪問企業(yè)門戶中的各個(gè) 子系統(tǒng)時(shí)無需再重復(fù)登錄。 1.1.2 存存在在的的問問題題 在單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)過程中，往往會(huì)碰到如下問題：1) 企業(yè)現(xiàn)有的各個(gè)應(yīng)用系統(tǒng)間 相互獨(dú)立或者通信狀況是混亂的，對(duì)外接口也不同，這給應(yīng)用系統(tǒng)的集成帶來了極大困難。 2) 同一個(gè)用戶，擁有多個(gè)應(yīng)用系統(tǒng)的訪問憑證，使用戶信息難以統(tǒng)一管理。3) cookie 不 能跨域的限制也使實(shí)現(xiàn)各個(gè)應(yīng)用系統(tǒng)之間 cookie 共享成為一個(gè)難題。 1.1.3 解解決決技技術(shù)術(shù) 本文介紹的基于 cas 協(xié)議，采用用戶映射機(jī)制設(shè)計(jì)的單點(diǎn)登錄

4、方案，能很好的解決這 些問題。 1.2 背背景景 a、 軟件系統(tǒng)的名稱：sso 單點(diǎn)登錄系統(tǒng)； b、 對(duì)企業(yè)已有的或要建設(shè)的系統(tǒng)進(jìn)行單點(diǎn)登錄整合。 1.3 術(shù)術(shù)語語 本系統(tǒng)：sso 單點(diǎn)登錄系統(tǒng)； 1.4 預(yù)預(yù)期期讀讀者者與與閱閱讀讀建建議議 預(yù)期讀者閱讀重點(diǎn) 系統(tǒng)設(shè)計(jì)者cas 原理，自定義實(shí)現(xiàn)身份認(rèn)證，方案設(shè)計(jì) 1.5 cas運(yùn)運(yùn)行行原原理理 我們以 a 公司的員工日志管理系統(tǒng)為例： a. 傳統(tǒng)的用戶認(rèn)證流程 b. 使用 cas 后的用戶認(rèn)證流程 示意圖中，cas 相關(guān)部分被標(biāo)示為藍(lán)色。在這個(gè)流程中，員工 at 向日志系統(tǒng)請(qǐng)求進(jìn) 入主頁面，他的瀏覽器發(fā)出的 http 請(qǐng)求被嵌入在日志系統(tǒng)中的

5、 cas 客戶端（http 過濾 器）攔截，并判斷該請(qǐng)求是否帶有 cas 的證書；如果沒有，員工 at 將被定位到 cas 的 統(tǒng)一用戶登錄界面進(jìn)行登錄認(rèn)證，成功后，cas 將自動(dòng)引導(dǎo) at 返回日志系統(tǒng)的主頁面。 2. 總總體體設(shè)設(shè)計(jì)計(jì) 2.1 設(shè)設(shè)計(jì)計(jì)目目標(biāo)標(biāo) a. 實(shí)現(xiàn)一個(gè)易用的、能跨不同 web 應(yīng)用的單點(diǎn)登錄認(rèn)證中心； b. 實(shí)現(xiàn)統(tǒng)一的用戶身份和密鑰管理，減少多套密碼系統(tǒng)造成的管理成本和安全漏洞； c. 降低認(rèn)證模塊在 it 系統(tǒng)設(shè)計(jì)中的耦合度，提供更好的 soa 設(shè)計(jì)和更彈性的安全策 略。 2.2 運(yùn)運(yùn)行行環(huán)環(huán)境境 2.3 網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)結(jié)構(gòu)構(gòu) 2.4 總總體體設(shè)設(shè)計(jì)計(jì)思思路路和和處處

6、理理流流程程 通常，企業(yè)應(yīng)用程序基于瀏覽器的 b/s 模式，這種情況下，系統(tǒng)的用戶憑證（一個(gè)由 cas 服務(wù)器生成的唯一 id 號(hào)，也稱之為 ticket）借助 cookie 和 url 參數(shù)方式實(shí)現(xiàn)；在 b/s 環(huán)境中，大多情況下，我們只需要配置 cas filter 或者使用 cas tag library 就可以 輕松實(shí)現(xiàn)的驗(yàn)證客戶端。 如果應(yīng)用是以普通的 c/s 模式運(yùn)行，則需要應(yīng)用程序自己來維護(hù)這個(gè) ticket 在上下文 環(huán)境中的傳輸和保存了。這時(shí)候就需要手工調(diào)用 serviceticketvalidator / proxyticketvalidator 對(duì)象的方法，向 cas 服務(wù)器提交認(rèn)證，并獲取認(rèn)證結(jié)果進(jìn)行相應(yīng)的 處理。 2.5 對(duì)對(duì)象象關(guān)關(guān)系系圖圖 2.6 系系統(tǒng)統(tǒng)約約定定 2.7 模模塊塊結(jié)結(jié)構(gòu)構(gòu)設(shè)設(shè)計(jì)計(jì) 用 戶 接 入 統(tǒng)一認(rèn)證系統(tǒng) 應(yīng)用系統(tǒng)1 cas認(rèn)證中心 身身份份認(rèn)認(rèn)證證中中心心 數(shù)據(jù)庫 應(yīng)用系統(tǒng)1 數(shù)據(jù)庫 同 步 數(shù) 據(jù) 用 戶 接 入 統(tǒng)一認(rèn)證系統(tǒng) 應(yīng)用系統(tǒng)1 cas認(rèn)證中心 身身份份認(rèn)認(rèn)證證中中心心 數(shù)據(jù)庫 應(yīng)用系統(tǒng)1 數(shù)據(jù)庫 查 詢 數(shù) 據(jù) 2.8