單點登錄平臺管理軟件~系統(tǒng)設(shè)計文檔

1、單點登錄平臺管理軟件設(shè)計方案目錄一、項目概述 . 1二、項目目標(biāo) . 1三、必要性分析 . 1四、定義 2五、項目需求 . 31. 概述 32. 功能需求分析. 42.1. 系統(tǒng)實現(xiàn)結(jié)構(gòu)圖 . 52.2. 系統(tǒng)實現(xiàn)層次結(jié)構(gòu). 52.3. 功能需求 . 62.4. 流程邏輯 . 113. 數(shù)據(jù)庫設(shè)計 . 134. 服務(wù)器與成員接口規(guī) . 15一、 項目概述單點登錄(Single Sign On ),簡稱為SSO,它是一個用戶認(rèn)證 的過程，允許用戶一次性進(jìn)行認(rèn)證之后，就訪問系統(tǒng)中不同的應(yīng)用； 而不需要訪問每個應(yīng)用時，都重新輸入密碼。IBM對SSO有一個形象 的解釋“單點登錄、全網(wǎng)漫游”它是一個用戶

2、認(rèn)證的過程，允許用戶 一次性進(jìn)行認(rèn)證之后， 就訪問系統(tǒng)中不同的應(yīng)用； 而不需要訪問每個 應(yīng)用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、 全網(wǎng)漫游”。SSO將一個企業(yè)部所有域中的用戶登錄和用戶管理集中到一起， SSC的好處顯而易見。對于部有多種應(yīng)用系統(tǒng)的企業(yè)來說， 單點登錄的效果是十分明顯 的。很多國際上的企業(yè)已經(jīng)將單點登錄作為系統(tǒng)設(shè)計的基本功能之一。二、 項目目標(biāo)通過建設(shè)與實現(xiàn)SSO可以達(dá)到以下目標(biāo)：減少用戶在不同系統(tǒng)中登錄耗費的時間， 減少用戶登錄出錯的可 能性。實現(xiàn)安全的同時避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息。 減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時間。增

3、加了安全性： 系統(tǒng)管理員有了更好的方法管理用戶， 包括可以 通過直接禁止和刪除用戶來取消該用戶對所有系統(tǒng)資源的訪問權(quán)限。必要性分析鑒于單位運營的多個獨立（稱為成員站點） ，每個都具有自己的 身份驗證機(jī)制，這樣勢必造成：生活中的一位用戶，如果要以會員的 身份訪問，需要在每個上注冊，并且通過身份驗證后，才能以會員的 身份訪問； 即使用戶以同樣的用戶名與密碼在每個上注冊時， 雖然可 以在避免用戶名與密碼的忘記和混淆方面有一定的作用， 但是用戶在 某一段時間訪問多個成員站點或在成員站點間跳轉(zhuǎn)時， 還是需要用戶 登錄后，才能以會員的身份訪問。這樣不僅給用戶帶來了不便，而且 成員為登錄付出了性能的代價；如

4、果所有的成員， 能夠?qū)崿F(xiàn)單點登錄， 不僅在用戶體驗方面有所 提高，而且真正體現(xiàn)了平臺的一體性。通過這種有機(jī)結(jié)合，能更好地 體現(xiàn)公司大平臺，大渠道的理念。同時，這樣做也利于成員的相互促 進(jìn)與相互宣傳。正是出于上面的兩點， 單點登錄系統(tǒng)的開發(fā)是必須的， 是迫在眉 睫的。四、 定義 單點登錄系統(tǒng)提供所有成員的“單一登錄”入口。本系統(tǒng)的實質(zhì) 是含有身份驗證狀態(tài)的變量，在各個成員間共用。單點登錄系統(tǒng)，包括認(rèn)證服務(wù)器 （稱 Passport 服務(wù)器 ） ，成員服務(wù)器。會員：用戶通過 Passport 服務(wù)器注冊成功后，就具有了會員身 份。單一登錄：會員第一次訪問某個成員時， 需要提供用戶名與密碼， 一旦通

5、過 Passport 服務(wù)器的身份驗證，該會員在一定的時間，訪問 任何成員都不需要再次登錄。Cookie 驗證票：含有身份驗證狀態(tài)的變量。由 Passport 服務(wù)器 生成，票含有用戶名， 簽發(fā)日期時間， 過期日期時間和用戶其它數(shù)據(jù)。 五、 項目需求1. 概述（ 1）注冊：a. 成員重定向到 Passport 服務(wù)器的注冊頁面， 并且?guī)в蟹祷?URL 和成員 ID 。b. 通過 Passport 注冊頁面創(chuàng)建會員后，保存會員驗證票到數(shù)據(jù) 庫和 passport 服務(wù)器所在域 cookie 中。同時，在成員的數(shù)據(jù)庫上創(chuàng) 建與 Passport 服務(wù)器數(shù)據(jù)庫中會員的映射關(guān)系。c. 重定向到成員，填

6、寫會員個性信息。d. 保存會員個性信息，并把重定向傳入的驗證票保存到本地 cookie 和創(chuàng)建 Session 狀態(tài)變量。（ 2）登錄：a、SSO系統(tǒng)要實現(xiàn)各個成員的無縫結(jié)合，只要會員經(jīng)過了認(rèn)證 服務(wù)器的登錄驗證（ Passport 服務(wù)器），該會員訪問其它任何的時， 都不需要再次登錄。b、會員在第一次登錄時，Passport服務(wù)器驗證身份之后，生成 的 cookie 驗證票，只需保存到 Passport 服務(wù)器所在域的 cookie 中， 不能采用向每個成員所在的域中寫 cookie, 防止響應(yīng)時間太長，給會員帶來不友好的瀏覽體驗。同時，把下發(fā)給會員的cookie票保存到Passport服務(wù)

7、器的數(shù)據(jù)庫中，方便驗證方式和會員行為統(tǒng)計的擴(kuò)展。c、會員一經(jīng)通過身份驗證，成功登錄了某個成員 （假設(shè)為A）,需 要利用Session和cookie兩種方式保存會員已經(jīng)登錄的狀態(tài)。d、同一個瀏覽器進(jìn)程中，會員在 A的頁面間跳轉(zhuǎn)時，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與Passport服務(wù)器通信驗證會員的身份。e、會員通過驗證登錄了 A,若會員從A跳轉(zhuǎn)或重新打開瀏覽器登 錄其它成員（假設(shè)B），都需要與Passport服務(wù)器通信驗證會員的票。 但是，這次驗證不要 Passport服務(wù)器與數(shù)據(jù)庫中保存的驗證票進(jìn)行 比較驗證，只需要驗證Passport服務(wù)器域中的cookie驗證票據(jù)有效 即可。f、 對于驗證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie 的性，完整性和不可抵賴性。g、若果Passport服務(wù)器Dowr掉后，仍可以直接登錄成員。3）登出、修改密碼、找回密碼和成員間的跳轉(zhuǎn)，請查看IPO圖表中相應(yīng)的模塊描述。2. 功能需求分析SSC系統(tǒng)包括注冊、登錄、登出、密碼修改、密碼找回、成員間跳 轉(zhuǎn)與用戶管理模塊。系統(tǒng)機(jī)構(gòu)和模塊部處理功能，它主要包括層次結(jié)構(gòu)圖和I