單點登錄系統(tǒng)SSO詳細設(shè)計說明書

年4月19日單點登錄系統(tǒng)SSO詳細設(shè)計說明書文檔僅供參考單點登錄系統(tǒng)（SSO）詳細設(shè)計說明書1、引言

1.1編寫目的

為了單點登錄系統(tǒng)(SSO系統(tǒng))的可行性，完整性，并能按照預(yù)期的設(shè)想實現(xiàn)該系統(tǒng)，特編寫需求說明書。

同時，說明書也發(fā)揮與策劃和設(shè)計人員更好地溝通的作用。1.2背景

a．鑒于集團運營的多個獨立網(wǎng)站（稱為成員站點），每個網(wǎng)站都具有自己的身份驗證機制，這樣勢必造成：生活中的一位用戶，如果要以會員的身份訪問網(wǎng)站，需要在每個網(wǎng)站上注冊，而且經(jīng)過身份驗證后，才能以會員的身份訪問網(wǎng)站；即使用戶以同樣的用戶名與密碼在每個網(wǎng)站上注冊時，雖然能夠在避免用戶名與密碼的忘記和混淆方面有一定的作用，可是用戶在某一段時間訪問多個成員站點或在成員站點間跳轉(zhuǎn)時，還是需要用戶登錄后，才能以會員的身份訪問網(wǎng)站。這樣不但給用戶帶來了不便，而且成員網(wǎng)站為登錄付出了性能的代價；b．如果所有的成員網(wǎng)站，能夠?qū)崿F(xiàn)單點登錄，不但在用戶體驗方面有所提高，而且真正體現(xiàn)了集團多個網(wǎng)站的兄弟性。經(jīng)過這種有機結(jié)合，能更好地體現(xiàn)公司大平臺，大渠道的理念。同時，這樣做也利于成員網(wǎng)站的相互促進與相互宣傳。

正是出于上面的兩點，單點登錄系統(tǒng)的開發(fā)是必須的，是迫在眉睫的。1.3定義

單點登錄系統(tǒng)提供所有成員網(wǎng)站的“單一登錄”入口。本系統(tǒng)的實質(zhì)是含有身份驗證狀態(tài)的變量，

在各個成員網(wǎng)站間共用。單點登錄系統(tǒng)，包括認證服務(wù)器(稱Passport服務(wù)器)，成員網(wǎng)站服務(wù)器。

會員：用戶經(jīng)過Passport服務(wù)器注冊成功后，就具有了會員身份。

單一登錄：會員第一次訪問某個成員網(wǎng)站時，需要提供用戶名與密碼，一旦經(jīng)過Passport服務(wù)器的身份驗證，

該會員在一定的時間內(nèi)，訪問任何成員網(wǎng)站都不需要再次登錄。

Cookie驗證票：含有身份驗證狀態(tài)的變量。由Passport服務(wù)器生成，票含有用戶名，簽發(fā)日期時間，

過期日期時間和用戶其它數(shù)據(jù)。

2、任務(wù)概述2.1目標

SSO系統(tǒng)，是集團統(tǒng)一的Passport，SSO系統(tǒng)分兩個階段實施。第一階段對于新注冊的用戶提供單點登錄的功能。

第二階段，整合各個成員網(wǎng)站已有會員到單點登錄系統(tǒng)中。

Passport服務(wù)器作為各個成員網(wǎng)站的惟一身份驗證入口，需要考慮其性能，擴展性，穩(wěn)定性，安全性和維護成本。特別

要注意第二階段的開發(fā)，做到統(tǒng)籌考慮。2.2最終用戶的特點

最終用戶是數(shù)以萬計網(wǎng)民。這就確定了用戶使用電腦的水平是參差不齊的，在開發(fā)單點登錄系統(tǒng)時，力爭做到界面友

好，措詞簡單明了。用戶不用學(xué)習(xí)，就能使用該系統(tǒng)。3、需求規(guī)定

3.1需求概述

1)

注冊：

a.成員網(wǎng)站重定向到Passport服務(wù)器的注冊頁面，而且?guī)в蟹祷豒RL和成員網(wǎng)站ID。

b.經(jīng)過Passport注冊頁面創(chuàng)立會員后，保存會員驗證票到數(shù)據(jù)庫和passport服務(wù)器所在域cookie中。同時，在成員網(wǎng)站

的數(shù)據(jù)庫上創(chuàng)立與Passport服務(wù)器數(shù)據(jù)庫中會員的映射關(guān)系。

c.重定向到成員網(wǎng)站，填寫會員個性信息。

d.保存會員個性信息，并把重定向傳入的驗證票保存到本地cookie和創(chuàng)立Session狀態(tài)變量。

2）登錄：

a、SSO系統(tǒng)要實現(xiàn)各個成員網(wǎng)站的無縫結(jié)合，只要會員經(jīng)過了認證服務(wù)器的登錄驗證（Passport服務(wù)器），該會員訪

問其它任何的網(wǎng)站時，都不需要再次登錄。

b、會員在第一次登錄時，Passport服務(wù)器驗證身份之后，生成的cookie驗證票，只需保存到Passport服務(wù)器所在域的

cookie中，不能采用向每個成員網(wǎng)站所在的域中寫cookie,防止響應(yīng)時間太長，給會員帶來不友好的瀏覽體驗。同

時，把下發(fā)給會員的cookie票保存到Passport服務(wù)器的數(shù)據(jù)庫中，方便驗證方式和會員行為統(tǒng)計的擴展。

c、會員一經(jīng)經(jīng)過身份驗證，成功登錄了某個成員網(wǎng)站(假設(shè)為網(wǎng)站A),需要利用Session和cookie兩種方式保存會員已經(jīng)登

錄的狀態(tài)。

d、同一個瀏覽器進程中，會員在網(wǎng)站A的頁面間跳轉(zhuǎn)時，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與

Passport服務(wù)器通信驗證會員的身份。

e、會員經(jīng)過驗證登錄了網(wǎng)站A,若會員從網(wǎng)站A跳轉(zhuǎn)或重新打開瀏覽器登錄其它成員網(wǎng)站(假設(shè)網(wǎng)站B)，都需要與Passport

服務(wù)器通信驗證會員的票?？墒牵@次驗證不要Passport服務(wù)器與數(shù)據(jù)庫中保存的驗證票進行比較驗證，只需要驗證

Passport服務(wù)器域中的cookie驗證票據(jù)有效即可。

f、

對于驗證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie的機密性，完整性和不可抵賴性。

g、若果Passport服務(wù)器Down掉后，仍能夠直接登錄成員網(wǎng)站。

說明：上面高亮顯示的表示二期開發(fā)功能。

3)登出、修改密碼、找回密碼和成員網(wǎng)站間的跳轉(zhuǎn)，請查看IPO圖表中相應(yīng)的模塊描述。

3.2對功能的規(guī)定

SSO系統(tǒng)包括注冊、登錄、登出、密碼修改、密碼找回、成員網(wǎng)站間跳轉(zhuǎn)與用戶管理模塊。本說明書使用HIPO圖描述

系統(tǒng)機構(gòu)和模塊內(nèi)部處理功能，它主要包括層次結(jié)構(gòu)圖和IPO圖兩個部分。層次結(jié)構(gòu)圖描述了整個系統(tǒng)的結(jié)構(gòu)以及各個

模塊之間的關(guān)系；IPO圖則描述了在某個特定模塊內(nèi)部的輸入（I）、處理過程（P）、輸出（O）思想。

A、系統(tǒng)結(jié)構(gòu)圖圖1SSO系統(tǒng)結(jié)構(gòu)圖B、層次結(jié)構(gòu)圖

圖2系統(tǒng)層次結(jié)構(gòu)圖C、IPO圖表

備注：紅色高亮部分，表示修改的邏輯模塊名稱：會員注冊使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O1.重定向到Passport服務(wù)器，帶有返回URL和成員網(wǎng)站ID2.輸入信息：郵箱、密碼、區(qū)域（暫時沒有使用驗證碼）。33.提交注冊信息，發(fā)出注冊請求。

4.注冊用戶從郵件中獲得驗證碼，利用驗證號激活用戶，此時用戶將成為合法會員。5.會員個性信息（在成員網(wǎng)站填寫）1.郵箱是否可用的實時檢查，及時提示郵箱是否可用（這里的可用僅僅是表示符合郵箱的規(guī)范，而且該郵箱沒有被注冊，不表示真正的可用）。2.密碼安全級別實時提示。根據(jù)字符長度、含有字符的種類，計算安全級別，并實時提示用戶。安全級別分為:太短，差，良，優(yōu)四個等級。3.根據(jù)區(qū)域數(shù)據(jù)庫，獲得區(qū)域信息下拉框，結(jié)合會員區(qū)域IP，實現(xiàn)區(qū)域自動篩選，在允許的誤差范圍內(nèi)不需手動選擇區(qū)域。4.建立新會員(1)驗證會員提交的注冊信息，若合法，把用于激活帳號的驗證碼發(fā)送到會員測試使用的郵箱中。(2)會員使用驗證碼激活帳號，若激活成功，保存會員信息和會員驗證票到數(shù)據(jù)庫(Passport服務(wù)器數(shù)據(jù)庫),而且驗證票也保存到cookie中。同時調(diào)用成員網(wǎng)站的WebService接口，把剛才產(chǎn)生的Passid保存到成員網(wǎng)站數(shù)據(jù)庫中（建立映射關(guān)系）。(3)重定向到成員網(wǎng)站。(4)成員網(wǎng)站接收數(shù)據(jù)，提示會員填寫個性信息，并提交到成員網(wǎng)站服務(wù)器。(5)保存?zhèn)€性信息與接收的會員驗證信息到成員網(wǎng)站數(shù)據(jù)庫與cookie中，同時在Session中保存會員已驗證的狀態(tài)信息。(5)導(dǎo)航會員到某個頁面。1.

Passort服務(wù)器保存新會員信息和會員驗證票到數(shù)據(jù)庫中。2.

成員網(wǎng)站W(wǎng)ebService，在成員網(wǎng)站數(shù)據(jù)庫中添加會員信息，利用Passid建立與Passport服務(wù)器上會員的映射關(guān)系，并返回操作成功或失敗狀態(tài)信息。3.修改成員網(wǎng)站數(shù)據(jù)庫中會員的個性信息。4.保存會員驗證票到cookie中，同時保存會員經(jīng)過驗證的狀態(tài)到Session中。

表1：會員注冊模塊

模塊名稱：會員登錄使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O1.會員第一次登錄時輸入Email和密碼。2.提交會員信息到Passport服務(wù)

器。說明：加載登錄框之前，成員網(wǎng)站會首先與Passport服務(wù)器通信，獲得會員是否已經(jīng)登錄過，根據(jù)狀態(tài)加載登錄框。1.在成員網(wǎng)站A含有登錄框頁面的<head>區(qū)，利用<scriptsrc=meber_auth.aspx>在頁頭嵌入.aspx文件（成員網(wǎng)站上的文件）。a.頁面首先查看Session中的狀態(tài)變量，如果狀態(tài)變量為NULL,則查看cookie中的狀態(tài)變量。b.根據(jù)Session與Cookie中狀態(tài)變量的情況，實現(xiàn)與Passport服務(wù)器上的WebService通信，確定會員是否已經(jīng)登錄。2.根據(jù)會員登錄與否，加載登錄框。3.如果沒有登錄，顯示會員輸入Email和密碼的登錄框。4.會員提交信息到Passport服務(wù)器上的WebService,經(jīng)過驗證后生成cookie票，并返回登錄狀態(tài)值和cookie票到成員網(wǎng)站。成員網(wǎng)站保存登錄狀態(tài)變量與cookie票。說明：會員經(jīng)過任何一個成員網(wǎng)站登錄成功后，表示已經(jīng)登錄了所有的成員網(wǎng)站。1.根據(jù)登錄狀態(tài)加載登錄框2.在Passport服務(wù)器上創(chuàng)立會員驗證票，保存到數(shù)據(jù)庫與cookie中3.PassportWebService返回登錄狀態(tài)值與cookie驗證票到成員網(wǎng)站。4.保存會員驗證票到cookie中，同時保存會員經(jīng)過驗證的狀態(tài)到Session中。

表2：會員登錄模塊

模塊名稱：會員登出使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O1.成員網(wǎng)站重定向到Passport服務(wù)器的登出頁面，并帶有返回URL,成員網(wǎng)站ID和驗證票。1.在成員網(wǎng)站A重定向到Passport服務(wù)器，Passport接收cookie驗證票,并驗證是否合法。2.Passport修改數(shù)據(jù)庫中驗證票使之失效，清除cookie中的驗證票。3.重定向到成員網(wǎng)站，清除cookie中的驗證票和Session中登錄狀態(tài)變量。4.導(dǎo)航會員到某個頁面。1.修改數(shù)據(jù)庫中的驗證票使之失效，并清除cookie。2.重定向到成員網(wǎng)站。

表3：會員登出模塊名稱：修改密碼使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O1.成員網(wǎng)站重定向到Passport服務(wù)器修改密碼頁面，并帶有返回URL,驗證cookie票。2.會員輸入原密碼和新密碼。3.提交數(shù)據(jù)。1.在成員網(wǎng)站A重定向到Passport服務(wù)器，Passport接收cookie驗證票,并驗證是否合法。2.Passport修改會員密碼。3.重定向到成員網(wǎng)站，并帶有修改成功與否的狀態(tài)變量。4.導(dǎo)航會員到某個頁面。1.修改數(shù)據(jù)庫中會員的密碼。2.重定向到成員網(wǎng)站。

表4：會員登出模塊名稱：找回密碼使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O1.成員網(wǎng)站重定向到Passport服務(wù)器找回密碼頁面，并帶有驗證cookie票。2.會員輸入Email地址3.提交數(shù)據(jù)4.激活新密碼(郵箱將收到一個激活密碼的URL)1.在成員網(wǎng)站A重定向到Passport服務(wù)器，Passport接收cookie驗證票,并驗證是否合法。2.Passport為會員生成新密碼，并向會員郵箱中發(fā)送一個激活密碼的URL。3.激活新密碼4.使用新的密碼登錄1.為會員生成新密碼，但未激活。2.提示會員收郵件激活新密碼，激活后方可使用。

表5：找回密碼

模塊名稱：成員網(wǎng)站間跳轉(zhuǎn)使用者：Passport服務(wù)器與各成員網(wǎng)站輸入部分

I處理描述

P輸出部分

O成員網(wǎng)站A鏈接到其它成員網(wǎng)站B，之后處理同會員登錄模塊。

表6：成員網(wǎng)站跳轉(zhuǎn)模塊名稱：票據(jù)加解密及驗證使用者：Passport服務(wù)器輸入部分

I處理描述

P輸出部分

O1.會員Passid、票據(jù)發(fā)布時間、票據(jù)有效時間、會員其它信息數(shù)據(jù)。2.調(diào)用WebService方法驗證a.傳入Email和密碼b.傳入cookie驗證票1.接收成員網(wǎng)站請求數(shù)據(jù)(Email與密碼)。2.由會員Passid、票據(jù)發(fā)布時間、票據(jù)有效時間、會員其它信息數(shù)據(jù)生成加密的cookie驗證票，而且保存到數(shù)據(jù)庫和cookie中。3.接收cookie驗證票，解密并驗證，返回給成員網(wǎng)站登錄狀態(tài)值。1.生成加密的cookie票。2.返回會員登錄狀態(tài)值。

表7：票據(jù)加解密及驗證3.3輸入輸出要求解釋各輸入輸出數(shù)據(jù)的類型，并逐項對格式、數(shù)值范圍、精度等作出準確定義。對軟件的數(shù)據(jù)輸出及必須標明的控制輸出量進行解釋并舉例，包括對硬拷貝報告（正常結(jié)果輸出、狀態(tài)輸出及異常輸出）以及圖形或顯示報告的描述。3.4流程邏輯

3.4.1注冊流程圖

3.4.2會員登錄流程圖

3.4.3會員登出流程圖

3.4.4會員修改密碼流程圖

3.4.5會員找回密碼流程圖

3.4.6成員網(wǎng)站間跳轉(zhuǎn)流程

假設(shè)從成員網(wǎng)站A跳轉(zhuǎn)到成員網(wǎng)站B，網(wǎng)站A提供網(wǎng)站B的入口鏈接即可。導(dǎo)航到網(wǎng)站B后，其流程與會員登錄流程一樣。3.5對性能的規(guī)定3.5.1精度3.5.2靈活性設(shè)計時需要充分考慮功能的擴展，使功能模塊具有很強的靈活性。靈活性因素：a．操作方式上的變化；b．運行環(huán)境的變化；c．同其它軟件的接口或其它軟件對該模塊的集成；d．精度和有效時限的變化；e．計劃的變化或改進。3.6數(shù)據(jù)管理3.6.1數(shù)據(jù)管理能力要求說明需要管理的文卷和記錄的個數(shù)、表和文卷的大小規(guī)模，要按可預(yù)見的增長對數(shù)據(jù)及其分量的存儲要求做出估算。比如，在數(shù)據(jù)庫中設(shè)計中會員ID時,若采用自增型變量要估算會員的數(shù)量級，確定采用（int）數(shù)據(jù)類型，還（bigint）數(shù)據(jù)類型。3.6.2數(shù)據(jù)庫設(shè)計（Passport服務(wù)器）

1）.Pass_Member(會員表)字段名稱數(shù)據(jù)類型說明備注mPassIDBigint會員ID號自增型，PK(主鍵)mNameNvarchar(64)會員名Email作為會員名（創(chuàng)立索引）mPwdNvarchar(32)會員密碼數(shù)據(jù)庫中保存MD5運算的結(jié)果mGBPwdNvarchar(32)會員找回密碼會員找回密碼時，生成的密碼，會員激活后覆蓋會員密碼mWakeTinyint會員喚醒當(dāng)和成員網(wǎng)站建立映射關(guān)系后，喚醒該會員mMapWebsiteNvarchar(128)會員映射的成員站點建立會員映射關(guān)系的成員網(wǎng)站串mRegDTDatetime會員注冊時間mAreaCodeNvarchar(8)區(qū)域代號mBackNvarchar(64)預(yù)留字段預(yù)留擴展注意:成員網(wǎng)站的會員表，需要經(jīng)過mPassID字段建立與Pass_Member表中會員的映射關(guān)系。

備注：60-11-20添加兩個字段（紅色高亮）

2).Member_WebSite(成員網(wǎng)站表)字段名稱數(shù)據(jù)類型說明備注mWebIDint成員網(wǎng)站ID編號PK(主鍵)mWebNameNvarchar(32)成員網(wǎng)站名稱mWebURLNvarchar(32)成員網(wǎng)站URLmWebIPNvarchar(16)成員網(wǎng)站IPmWebManagerNvarchar(16)成員網(wǎng)站管理員成員網(wǎng)站故障時，便于維護mWMTelNvarchar(16)成員管理員電話mBackNvarchar(64)預(yù)留字段預(yù)留擴展

3).Member_Ticket(會員票據(jù)表)字段名稱數(shù)據(jù)類型說明備注mTicketIDNvarchar(240)驗證票編碼PK(主鍵)mPassIDBigint會員ID號FK（關(guān)聯(lián)Pass_Member表mPassID）issueDTDatetime票簽發(fā)日期時間availDTdatetime票有效日期時間digitalSignNvarchar(32)票的數(shù)字簽名用于保證票的安全mBackNvarchar(64)預(yù)留字段預(yù)留擴展

4).Member_SignRecord(會員登錄記錄表)字段名稱數(shù)據(jù)類型說明備注IDBigint記錄ID號PK(主鍵)mPassIDBigint會員ID號FK（關(guān)聯(lián)Pass_Member表mPassID）signinDTDatetime登錄日期時間signinWebIDint登錄網(wǎng)站ID編號FK(關(guān)聯(lián)Member_WebSite表)signoutDTDatetime登出日期時間signoutWebIDint登出網(wǎng)站ID編號FK(關(guān)聯(lián)Member_WebSite表)mBackNvarchar(64)預(yù)留字段預(yù)留擴展

3.6.3數(shù)據(jù)處理

創(chuàng)立作業(yè)1、定時把驗證票的記錄導(dǎo)入的備份表中，供統(tǒng)計分析使用。2、定時把一天以上沒有激活的會員刪除3.7Passport服務(wù)器與成員網(wǎng)站接口規(guī)范

3.7.1Passport服務(wù)器入口及調(diào)用接口

a.注冊入口

重定向規(guī)范：

成員網(wǎng)站注冊重定向地址:

成員網(wǎng)站入口參數(shù)：AppID

成員網(wǎng)站ID號

Redirect

Passport重定向地址

Passport回傳參數(shù)：Ticket

cookie驗證票加密串

PassID

會員ID號

UserName

會員名稱(Email)

舉例：

假設(shè)AppID=1；Redirect=

Ticket=53D2FD484DC6FAD75E82；UserName=

PassID=1234

則成員網(wǎng)站重定向地址為：://.com/register.aspx

Passport重定向地址為：

WebService通信規(guī)范：

若用戶從成員網(wǎng)站A重定向到Passport服務(wù)器注冊會員時，Passport調(diào)用成員網(wǎng)站W(wǎng)ebService接口，建立Passport數(shù)據(jù)庫與網(wǎng)站A數(shù)據(jù)庫中會員的關(guān)聯(lián)，關(guān)聯(lián)字段為Pass_Member表中的mPassID。WebService名稱：pass_user_related所有者：成員網(wǎng)站調(diào)用者：Passport服務(wù)器輸入?yún)?shù)：PassID：字符串，表示會員ID號

輸出參數(shù)：Flag：布爾型，表示是否成功建立關(guān)聯(lián)

b.登錄接口

驗證cookie票WebService規(guī)范：成員網(wǎng)站本地域存在cookie驗證票時，使用的接口。WebService名稱：web_ticket_auth所有者：Passport服務(wù)器調(diào)用者：成員網(wǎng)站輸入?yún)?shù)：TicketCode字符串

驗證票字符串

AppID

字符串成員網(wǎng)站ID輸出參數(shù)：Flag：布爾型，表示驗證票是否合法驗證邏輯：只要數(shù)據(jù)庫中存在該驗證票，且在有效期內(nèi)，即合法。

HTTP[本接口改為了重定向的方式，請參考下面的部分]請求通信接口規(guī)范：成員網(wǎng)站域不存在cookie驗證票，查看Passport域是否存在。Passpport提供的URL：輸入?yún)?shù)：無

輸出參數(shù)：XML格式的文本（符合RSS2.0標準），XML包含節(jié)點Flag：表示是否存在合法的驗證票Ticket：表示驗證票字符串PassID：表示會員ID號UserName：表示Email地址備注：Http請求，從成員網(wǎng)站域，向Passport域發(fā)送請求時，并不能訪問到在Passport域中向客戶端寫的cookie值?，F(xiàn)改成重定向的方式重定向接口規(guī)范：

Passport提供的重定向地址：輸入?yún)?shù)：Redirect

字符串

Passport重定向到成員網(wǎng)站的地址

AppID

字符串

成員網(wǎng)站ID號回傳參數(shù)：Ticket

字符串

驗證票編號

PassID

字符串

會員ID號

UserName

字符串

會員名稱

舉例：

假設(shè)：Redirect=

AppID=1

Ticket=53D2FD484DC6FAD75E82

PassID=1234

UserName=

則：則成員網(wǎng)站重定向地址為：://.com/Public/Login_State.aspx

Passport重定向地址為：

登錄框提交接口規(guī)范：成員網(wǎng)站輸入Email和密碼提交到Passport的地址。

提交到Passport的地址：

成員網(wǎng)站入口參數(shù)：Email

會員名

Pwd

會員密碼

AppID

成員網(wǎng)站ID

Redirect

Passport重定向地址Passport回傳參數(shù)：Ticket

字符串，cookie驗證票加密串

PassID

字符串，會員ID號

UserName

字符串，會員名稱(Email)Flag

登錄成功與否標識2-成功（會員存在）3-失敗（會員名不存在）4-密碼不正確，5-數(shù)據(jù)庫錯誤

舉例：

假設(shè)：Passport重定向地址為