單點(diǎn)登錄平臺(tái)管理軟件~系統(tǒng)設(shè)計(jì)文檔

1、單點(diǎn)登錄平臺(tái)管理軟件設(shè)計(jì)方案目錄一、項(xiàng)目概述 . 1二、項(xiàng)目目標(biāo) . 1三、必要性分析 . 1四、定義 2五、項(xiàng)目需求 . 31. 概述 32. 功能需求分析. 42.1. 系統(tǒng)實(shí)現(xiàn)結(jié)構(gòu)圖 . 52.2. 系統(tǒng)實(shí)現(xiàn)層次結(jié)構(gòu). 52.3. 功能需求 . 62.4. 流程邏輯 . 113. 數(shù)據(jù)庫(kù)設(shè)計(jì) . 134. 服務(wù)器與成員接口規(guī) . 15一、 項(xiàng)目概述單點(diǎn)登錄(Single Sign On ),簡(jiǎn)稱為SSO,它是一個(gè)用戶認(rèn)證 的過(guò)程，允許用戶一次性進(jìn)行認(rèn)證之后，就訪問(wèn)系統(tǒng)中不同的應(yīng)用； 而不需要訪問(wèn)每個(gè)應(yīng)用時(shí)，都重新輸入密碼。IBM對(duì)SSO有一個(gè)形象 的解釋“單點(diǎn)登錄、全網(wǎng)漫游”它是一個(gè)用戶

2、認(rèn)證的過(guò)程，允許用戶 一次性進(jìn)行認(rèn)證之后， 就訪問(wèn)系統(tǒng)中不同的應(yīng)用； 而不需要訪問(wèn)每個(gè) 應(yīng)用時(shí)，都重新輸入密碼。IBM對(duì)SSO有一個(gè)形象的解釋“單點(diǎn)登錄、 全網(wǎng)漫游”。SSO將一個(gè)企業(yè)部所有域中的用戶登錄和用戶管理集中到一起， SSC的好處顯而易見(jiàn)。對(duì)于部有多種應(yīng)用系統(tǒng)的企業(yè)來(lái)說(shuō)， 單點(diǎn)登錄的效果是十分明顯 的。很多國(guó)際上的企業(yè)已經(jīng)將單點(diǎn)登錄作為系統(tǒng)設(shè)計(jì)的基本功能之一。二、 項(xiàng)目目標(biāo)通過(guò)建設(shè)與實(shí)現(xiàn)SSO可以達(dá)到以下目標(biāo)：減少用戶在不同系統(tǒng)中登錄耗費(fèi)的時(shí)間， 減少用戶登錄出錯(cuò)的可 能性。實(shí)現(xiàn)安全的同時(shí)避免了處理和保存多套系統(tǒng)用戶的認(rèn)證信息。 減少了系統(tǒng)管理員增加、刪除用戶和修改用戶權(quán)限的時(shí)間。增

3、加了安全性： 系統(tǒng)管理員有了更好的方法管理用戶， 包括可以 通過(guò)直接禁止和刪除用戶來(lái)取消該用戶對(duì)所有系統(tǒng)資源的訪問(wèn)權(quán)限。必要性分析鑒于單位運(yùn)營(yíng)的多個(gè)獨(dú)立（稱為成員站點(diǎn)） ，每個(gè)都具有自己的 身份驗(yàn)證機(jī)制，這樣勢(shì)必造成：生活中的一位用戶，如果要以會(huì)員的 身份訪問(wèn)，需要在每個(gè)上注冊(cè)，并且通過(guò)身份驗(yàn)證后，才能以會(huì)員的 身份訪問(wèn)； 即使用戶以同樣的用戶名與密碼在每個(gè)上注冊(cè)時(shí)， 雖然可 以在避免用戶名與密碼的忘記和混淆方面有一定的作用， 但是用戶在 某一段時(shí)間訪問(wèn)多個(gè)成員站點(diǎn)或在成員站點(diǎn)間跳轉(zhuǎn)時(shí)， 還是需要用戶 登錄后，才能以會(huì)員的身份訪問(wèn)。這樣不僅給用戶帶來(lái)了不便，而且 成員為登錄付出了性能的代價(jià)；如

4、果所有的成員， 能夠?qū)崿F(xiàn)單點(diǎn)登錄， 不僅在用戶體驗(yàn)方面有所 提高，而且真正體現(xiàn)了平臺(tái)的一體性。通過(guò)這種有機(jī)結(jié)合，能更好地 體現(xiàn)公司大平臺(tái)，大渠道的理念。同時(shí)，這樣做也利于成員的相互促 進(jìn)與相互宣傳。正是出于上面的兩點(diǎn)， 單點(diǎn)登錄系統(tǒng)的開(kāi)發(fā)是必須的， 是迫在眉 睫的。四、 定義 單點(diǎn)登錄系統(tǒng)提供所有成員的“單一登錄”入口。本系統(tǒng)的實(shí)質(zhì) 是含有身份驗(yàn)證狀態(tài)的變量，在各個(gè)成員間共用。單點(diǎn)登錄系統(tǒng)，包括認(rèn)證服務(wù)器 （稱 Passport 服務(wù)器 ） ，成員服務(wù)器。會(huì)員：用戶通過(guò) Passport 服務(wù)器注冊(cè)成功后，就具有了會(huì)員身 份。單一登錄：會(huì)員第一次訪問(wèn)某個(gè)成員時(shí)， 需要提供用戶名與密碼， 一旦通

5、過(guò) Passport 服務(wù)器的身份驗(yàn)證，該會(huì)員在一定的時(shí)間，訪問(wèn) 任何成員都不需要再次登錄。Cookie 驗(yàn)證票：含有身份驗(yàn)證狀態(tài)的變量。由 Passport 服務(wù)器 生成，票含有用戶名， 簽發(fā)日期時(shí)間， 過(guò)期日期時(shí)間和用戶其它數(shù)據(jù)。 五、 項(xiàng)目需求1. 概述（ 1）注冊(cè)：a. 成員重定向到 Passport 服務(wù)器的注冊(cè)頁(yè)面， 并且?guī)в蟹祷?URL 和成員 ID 。b. 通過(guò) Passport 注冊(cè)頁(yè)面創(chuàng)建會(huì)員后，保存會(huì)員驗(yàn)證票到數(shù)據(jù) 庫(kù)和 passport 服務(wù)器所在域 cookie 中。同時(shí)，在成員的數(shù)據(jù)庫(kù)上創(chuàng) 建與 Passport 服務(wù)器數(shù)據(jù)庫(kù)中會(huì)員的映射關(guān)系。c. 重定向到成員，填

6、寫(xiě)會(huì)員個(gè)性信息。d. 保存會(huì)員個(gè)性信息，并把重定向傳入的驗(yàn)證票保存到本地 cookie 和創(chuàng)建 Session 狀態(tài)變量。（ 2）登錄：a、SSO系統(tǒng)要實(shí)現(xiàn)各個(gè)成員的無(wú)縫結(jié)合，只要會(huì)員經(jīng)過(guò)了認(rèn)證 服務(wù)器的登錄驗(yàn)證（ Passport 服務(wù)器），該會(huì)員訪問(wèn)其它任何的時(shí)， 都不需要再次登錄。b、會(huì)員在第一次登錄時(shí)，Passport服務(wù)器驗(yàn)證身份之后，生成 的 cookie 驗(yàn)證票，只需保存到 Passport 服務(wù)器所在域的 cookie 中， 不能采用向每個(gè)成員所在的域中寫(xiě) cookie, 防止響應(yīng)時(shí)間太長(zhǎng)，給會(huì)員帶來(lái)不友好的瀏覽體驗(yàn)。同時(shí)，把下發(fā)給會(huì)員的cookie票保存到Passport服務(wù)

7、器的數(shù)據(jù)庫(kù)中，方便驗(yàn)證方式和會(huì)員行為統(tǒng)計(jì)的擴(kuò)展。c、會(huì)員一經(jīng)通過(guò)身份驗(yàn)證，成功登錄了某個(gè)成員 （假設(shè)為A）,需 要利用Session和cookie兩種方式保存會(huì)員已經(jīng)登錄的狀態(tài)。d、同一個(gè)瀏覽器進(jìn)程中，會(huì)員在 A的頁(yè)面間跳轉(zhuǎn)時(shí)，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與Passport服務(wù)器通信驗(yàn)證會(huì)員的身份。e、會(huì)員通過(guò)驗(yàn)證登錄了 A,若會(huì)員從A跳轉(zhuǎn)或重新打開(kāi)瀏覽器登 錄其它成員（假設(shè)B），都需要與Passport服務(wù)器通信驗(yàn)證會(huì)員的票。 但是，這次驗(yàn)證不要 Passport服務(wù)器與數(shù)據(jù)庫(kù)中保存的驗(yàn)證票進(jìn)行 比較驗(yàn)證，只需要驗(yàn)證Passport服務(wù)器域中的cookie驗(yàn)證票據(jù)有效 即可。f、 對(duì)于驗(yàn)證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie 的性，完整性和不可抵賴性。g、若果Passport服務(wù)器Dowr掉后，仍可以直接登錄成員。3）登出、修改密碼、找回密碼和成員間的跳轉(zhuǎn)，請(qǐng)查看IPO圖表中相應(yīng)的模塊描述。2. 功能需求分析SSC系統(tǒng)包括注冊(cè)、登錄、登出、密碼修改、密碼找回、成員間跳 轉(zhuǎn)與用戶管理模塊。系統(tǒng)機(jī)構(gòu)和模塊部處理功能，它主要包括層次結(jié)構(gòu)圖和I