單點(diǎn)登錄系統(tǒng)(SSO) - 詳細(xì)設(shè)計(jì)說明書

《單點(diǎn)登錄系統(tǒng)(SSO) - 詳細(xì)設(shè)計(jì)說明書》由會(huì)員分享，可在線閱讀，更多相關(guān)《單點(diǎn)登錄系統(tǒng)(SSO) - 詳細(xì)設(shè)計(jì)說明書（28頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、1、引言 1.1編寫目的 ?????????為了單點(diǎn)登錄系統(tǒng)(SSO系統(tǒng))的可行性，完整性，并能按照預(yù)期的設(shè)想實(shí)現(xiàn)該系統(tǒng)，特編寫需求說明書。 ??????? 同時(shí)，說明書也發(fā)揮與策劃和設(shè)計(jì)人員更好地溝通的作用。? 1.2背景 ????????? a．鑒于集團(tuán)運(yùn)營的多個(gè)獨(dú)立網(wǎng)站（稱為成員站點(diǎn)），每個(gè)網(wǎng)站都具有自己的身份驗(yàn)證機(jī)制，這樣勢(shì)必造成：生活中的一位用戶，如果要以會(huì)員的身份訪問網(wǎng)站，需要在每個(gè)網(wǎng)站上注冊(cè)，并且通過身份驗(yàn)證后，才能以會(huì)員的身份訪問網(wǎng)站；即使用戶以同樣的用戶名與密碼在每個(gè)網(wǎng)站上注冊(cè)時(shí)，雖然可以在避免用戶名與密碼的忘記和混淆方面有一定的作用，但是用戶在某一段時(shí)間訪問多個(gè)成

2、員站點(diǎn)或在成員站點(diǎn)間跳轉(zhuǎn)時(shí)，還是需要用戶登錄后，才能以會(huì)員的身份訪?問網(wǎng)站。這樣不僅給用戶帶來了不便，而且成員網(wǎng)站為登錄付出了性能的代價(jià)；? ?????????? b．如果所有的成員網(wǎng)站，能夠?qū)崿F(xiàn)單點(diǎn)登錄，不僅在用戶體驗(yàn)方面有所提高，而且真正體現(xiàn)了集團(tuán)多個(gè)網(wǎng)站的兄弟性。通過這種有機(jī)結(jié)合，能更好地體現(xiàn)公司大平臺(tái)，大渠道的理念。同時(shí)，這樣做也利于成員網(wǎng)站的相互促進(jìn)與相互宣傳。? ????????????正是出于上面的兩點(diǎn)，單點(diǎn)登錄系統(tǒng)的開發(fā)是必須的，是迫在眉睫的。? 1.3定義 ???????????單點(diǎn)登錄系統(tǒng)提供所有成員網(wǎng)站的“單一登錄”入口。本系統(tǒng)的實(shí)質(zhì)是含有身份驗(yàn)證狀態(tài)的變量，

3、???????????在各個(gè)成員網(wǎng)站間共用。單點(diǎn)登錄系統(tǒng)，包括認(rèn)證服務(wù)器(稱Passport服務(wù)器)，成員網(wǎng)站服務(wù)器。? ????????????會(huì)員：用戶通過Passport服務(wù)器注冊(cè)成功后，就具有了會(huì)員身份。 ????????????單一登錄：會(huì)員第一次訪問某個(gè)成員網(wǎng)站時(shí)，需要提供用戶名與密碼，一旦通過Passport服務(wù)器的身份驗(yàn)證，該會(huì)員在一定的時(shí)間內(nèi)，訪問任何成員網(wǎng)站都不需要再次登錄。 ????????????Cookie驗(yàn)證票：含有身份驗(yàn)證狀態(tài)的變量。由Passport服務(wù)器生成，票含有用戶名，簽發(fā)日期時(shí)間，過期日期時(shí)間和用戶其它數(shù)據(jù)。?? 2、任務(wù)概述? 2.1目標(biāo)

4、? SSO系統(tǒng)，是集團(tuán)統(tǒng)一的Passport，SSO系統(tǒng)分兩個(gè)階段實(shí)施 第一階段對(duì)于新注冊(cè)的用戶提供單點(diǎn)登錄的功能。 第二階段，整合各個(gè)成員網(wǎng)站已有會(huì)員到單點(diǎn)登錄系統(tǒng)中。 ?????????Passport服務(wù)器作為各個(gè)成員網(wǎng)站的惟一身份驗(yàn)證入口，需要考慮其性能，擴(kuò)展性，穩(wěn)定性，安全性和維護(hù)成本。尤其要注意第二階段的開發(fā)，做到統(tǒng)籌考慮。? 2.2最終用戶的特點(diǎn) ?????????最終用戶是數(shù)以萬計(jì)網(wǎng)民。這就確定了用戶使用電腦的水平是參差不齊的，在開發(fā)單點(diǎn)登錄系統(tǒng)時(shí)，力爭做到界面友好，措詞簡單明了。用戶不用學(xué)習(xí)，就能使用該系統(tǒng)。? 3、需求規(guī)定?????? 3.1 需求概述

5、1)注冊(cè)： ????????????a.成員網(wǎng)站重定向到Passport服務(wù)器的注冊(cè)頁面，并且?guī)в蟹祷豒RL和成員網(wǎng)站ID。??? ????????????b.通過Passport注冊(cè)頁面創(chuàng)建會(huì)員后，保存會(huì)員驗(yàn)證票到數(shù)據(jù)庫和passport服務(wù)器所在域cookie中。同時(shí)，在成員網(wǎng)站的數(shù)據(jù)庫上創(chuàng)建與Passport服務(wù)器數(shù)據(jù)庫中會(huì)員的映射關(guān)系。 ??????????? c. 重定向到成員網(wǎng)站，填寫會(huì)員個(gè)性信息。 ??????????? d. 保存會(huì)員個(gè)性信息，并把重定向傳入的驗(yàn)證票保存到本地cookie和創(chuàng)建Session狀態(tài)變量。 2)登錄： ????????????a、?SSO

6、系統(tǒng)要實(shí)現(xiàn)各個(gè)成員網(wǎng)站的無縫結(jié)合，只要會(huì)員經(jīng)過了認(rèn)證服務(wù)器的登錄驗(yàn)證（Passport服務(wù)器），該會(huì)員訪?問其它任何的網(wǎng)站時(shí)，都不需要再次登錄。 ?????????? ?b、?會(huì)員在第一次登錄時(shí)，Passport服務(wù)器驗(yàn)證身份之后，生成的cookie驗(yàn)證票，只需保存到Passport服務(wù)器所在域的?cookie中，不能采用向每個(gè)成員網(wǎng)站所在的域中寫cookie,防止響應(yīng)時(shí)間太長，給會(huì)員帶來不友好的瀏覽體驗(yàn)。同?時(shí)，把下發(fā)給會(huì)員的cookie票保存到Passport服務(wù)器的數(shù)據(jù)庫中，方便驗(yàn)證方式和會(huì)員行為統(tǒng)計(jì)的擴(kuò)展。 ?????????c、?會(huì)員一經(jīng)通過身份驗(yàn)證，成功登錄了某個(gè)成員網(wǎng)站(假設(shè)

7、為網(wǎng)站A),需要利用Session和cookie兩種方式保存會(huì)員已經(jīng)登?錄的狀態(tài)。 ?????????d、?同一個(gè)瀏覽器進(jìn)程中，會(huì)員在網(wǎng)站A的頁面間跳轉(zhuǎn)時(shí)，只需要根據(jù)Session中的狀態(tài)變量加載登錄框。不需要再與?Passport服務(wù)器通信驗(yàn)證會(huì)員的身份。 ?????????e、?會(huì)員通過驗(yàn)證登錄了網(wǎng)站A,若會(huì)員從網(wǎng)站A跳轉(zhuǎn)或重新打開瀏覽器登錄其它成員網(wǎng)站(假設(shè)網(wǎng)站B)，都需要與Passport服務(wù)器通信驗(yàn)證會(huì)員的票。但是，這次驗(yàn)證不要Passport服務(wù)器與數(shù)據(jù)庫中保存的驗(yàn)證票進(jìn)行比較驗(yàn)證，只需要驗(yàn)證?Passport服務(wù)器域中的cookie驗(yàn)證票據(jù)有效即可。 ?????????f、

8、?? 對(duì)于驗(yàn)證cookie票，能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie的機(jī)密性，完整性和不可抵賴性。 ?????????g、?如果Passport服務(wù)器Down掉后，仍可以直接登錄成員網(wǎng)站。? ??????? 說明：上面高亮顯示的表示二期開發(fā)功能。? 3)登出、修改密碼、找回密碼和成員網(wǎng)站間的跳轉(zhuǎn) 以上功能，請(qǐng)查看IPO圖表中相應(yīng)的模塊描述。 ???? 3.2對(duì)功能的規(guī)定 ?????????SSO系統(tǒng)包括注冊(cè)、登錄、登出、密碼修改、密碼找回、成員網(wǎng)站間跳轉(zhuǎn)與用戶管理模塊。本說明書使用HIPO圖描述系統(tǒng)機(jī)構(gòu)和模塊內(nèi)部處理功能，它主要包括層次結(jié)構(gòu)圖和IPO圖兩個(gè)部分。層次

9、結(jié)構(gòu)圖描述了整個(gè)系統(tǒng)的結(jié)構(gòu)以及各個(gè)模塊之間的關(guān)系；IPO圖則描述了在某個(gè)特定模塊內(nèi)部的輸入（I）、處理過程（P）、輸出（O）思想。 ?A、系統(tǒng)結(jié)構(gòu)圖 ????????? ?圖1 - SSO系統(tǒng)結(jié)構(gòu)圖 B、層次結(jié)構(gòu)圖 ????????????????????? ???圖2 - 系統(tǒng)層次結(jié)構(gòu)圖 C、IPO圖表 備注：紅色高亮部分，表示修改的邏輯 模塊名稱：會(huì)員注冊(cè) 使用者：Passport服務(wù)器與各成員網(wǎng)站 輸入部分 I 處理描述 P 輸出部分 O 1. 重定向到Passport服務(wù)器，帶 有返回URL和成員網(wǎng)站ID 2.

10、輸入信息：郵箱、密碼、區(qū)域 （暫時(shí)沒有使用驗(yàn)證碼）。 3.提交注冊(cè)信息，發(fā)出注冊(cè)請(qǐng)求。 4.注冊(cè)用戶從郵件中獲得驗(yàn)證碼， 利用驗(yàn)證號(hào)激活用戶， 此時(shí)用戶將成為合法會(huì)員。 5.會(huì)員個(gè)性信息（在成員網(wǎng)站填寫） 1.郵箱是否可用的實(shí)時(shí)檢查，及時(shí)提示郵箱是否可用（這里的可用僅僅是表示符合郵箱的規(guī)范，并且該郵箱沒有被注冊(cè)，不表示真正的可用）。 2.密碼安全級(jí)別實(shí)時(shí)提示。根據(jù)字符長度、含有字符的種類，計(jì)算安全級(jí)別，并實(shí)時(shí)提示用戶。安全級(jí)別分為:太短，差，良，優(yōu)四個(gè)等級(jí)。 3.根據(jù)區(qū)域數(shù)據(jù)庫，獲得區(qū)域信息下拉框，結(jié)合會(huì)員區(qū)域IP，實(shí)現(xiàn)區(qū)域自動(dòng)篩選，在允許的誤差范圍內(nèi)不需手動(dòng)選擇

11、區(qū)域。 4. 建立新會(huì)員 (1)驗(yàn)證會(huì)員提交的注冊(cè)信息，若合法，把用于激活帳號(hào)的驗(yàn)證碼發(fā)送到會(huì)員測(cè)試使用的郵箱中。 (2)會(huì)員使用驗(yàn)證碼激活帳號(hào)，若激活成功，保存會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(Passport服務(wù)器數(shù)據(jù)庫),并且驗(yàn)證票也保存到cookie中。同時(shí)調(diào)用成員網(wǎng)站的Web Service接口，把剛才產(chǎn)生的Passid保存到成員網(wǎng)站數(shù)據(jù)庫中（建立映射關(guān)系）。 (3)重定向到成員網(wǎng)站。 (4)成員網(wǎng)站接收數(shù)據(jù)，提示會(huì)員填寫個(gè)性信息，并提交到成員網(wǎng)站服務(wù)器。 (5)保存?zhèn)€性信息與接收的會(huì)員驗(yàn)證信息到成員網(wǎng)站數(shù)據(jù)庫與cookie中，同時(shí)在Session中保存會(huì)員已驗(yàn)證的狀態(tài)信

12、息。 (5)導(dǎo)航會(huì)員到某個(gè)頁面。 1.?? Passort服務(wù)器保存新會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫中。 2.?? 成員網(wǎng)站W(wǎng)eb Service，在成員網(wǎng)站數(shù)據(jù)庫中添加會(huì)員信息，利用Passid建立與Passport服務(wù)器上會(huì)員的映射關(guān)系，并返回操作成功或失敗狀態(tài)信息。 3. 修改成員網(wǎng)站數(shù)據(jù)庫中會(huì)員的個(gè)性信息。 4.保存會(huì)員驗(yàn)證票到cookie中，同時(shí)保存會(huì)員通過驗(yàn)證的狀態(tài)到Session中。 表1：會(huì)員注冊(cè)模塊 ? ? 模塊名稱：會(huì)員登錄 使用者：Passport服務(wù)器與各成員網(wǎng)站

13、 輸入部分 I 處理描述 P 輸出部分 O 1. 會(huì)員第一次登錄時(shí)輸入Email 和密碼。 2. 提交會(huì)員信息到Passport服務(wù) 器。 ? 說明：加載登錄框之前，成員網(wǎng) 站會(huì)首先與Passport服務(wù)器通信， 獲得會(huì)員是否已經(jīng)登錄過，根據(jù) 狀態(tài)加載登錄框。 1.在成員網(wǎng)站A含有登錄框頁面的 區(qū)，利用