1、單點登錄系統（SSO詳細設計說明書1、引言1.1編寫目的為了單點登錄系統（SSO系統）的可行性，完整性，并能按照預期的設想實現 該系統，特編寫需求說明書。同時，說明書也發揮與策劃和設計人員更好地溝通 的作用。1.2背景a.鑒于集團運營的多個獨立網站（稱為成員站點），每個網站都具有自己的身份驗證機制，這樣勢必造成：生活中的一位用戶，如果要以會員的身份訪問 網站，需要在每個網站上注冊，并且通過身份驗證后，才能以會員的身份訪問網 站；即使用戶以同樣的用戶名與密碼在每個網站上注冊時，雖然可以在避免用戶名與密碼的忘記和混淆方面有一定的作用，但是用戶在某一段時間訪問多個成員 站點或在成員站點間跳轉時，還是

2、需要用戶登錄后，才能以會員的身份訪問網站。 這樣不僅給用戶帶來了不便，而且成員網站為登錄付出了性能的代價；b.如果所有的成員網站，能夠實現單點登錄，不僅在用戶體驗方面有所提高，而且真正體現了集團多個網站的兄弟性。 通過這種有機結合，能更好地體現 公司大平臺，大渠道的理念。同時，這樣做也利于成員網站的相互促進與相互宣 傳。正是出于上面的兩點，單點登錄系統的開發是必須的，是迫在眉睫的。1.3定義單點登錄系統提供所有成員網站的“單一登錄”入口。 本系統的實質是含有 身份驗證狀態的變量，在各個成員網站問共用。單點登錄系統，包括認證服務器（稱Passport服務器），成員網站服務器。會員：用戶通過Pas

3、sport服務器注冊成功后，就具有了會員身份。單一登錄：會員第一次訪問某個成員網站時，需要提供用戶名與密碼，一旦 通過Passport服務器的身份驗證，該會員在一定的時間內，訪問任何成員網站 都不需要再次登錄。Cookie驗證票：含有身份驗證狀態的變量。由Passport服務器生成，票含 有用戶名，簽發日期時間，過期日期時間和用戶其它數據。2、任務概述2.1目標SSC統，是集團統一的Passport , SSOK統分兩個階段實施。第一階段對 于新注冊的用戶提供單點登錄的功能。 第二階段，整合各個成員網站已有會員到 單點登錄系統中。Passport服務器作為各個成員網站的惟一身份驗證入口，需要考

4、慮其性能， 擴展性，穩定性，安全性和維護成本。尤其要注意第二階段的開發， 做到統籌考2.2最終用戶的特點最終用戶是數以萬計網民。這就確定了用戶使用電腦的水平是參差不齊的， 在開發單點登錄系統時，力爭做到界面友好，措詞簡單明了。用戶不用學習，就 能使用該系統。3、需求規定3.1需求概述1）注冊：a.成員網站重定向到Passport服務器的注冊頁面，并且帶有返回URL和成 員網站ID。b.通過Passport注冊頁面創建會員后，保存會員驗證票到數據庫和passport服務器所在域cookie中。同時，在成員網站的數據庫上創建與Passport服務器數據庫中會員的映射關系。c.重定向到成員網站，填寫

5、會員個性信息。d.保存會員個性信息，并把重定向傳入的驗證票保存到本地cookie和創建Session狀態變量。2）登錄：a、SSO系統要實現各個成員網站的無縫結合，只要會員經過了認證服務器的登錄驗證（Passport服務器），該會員訪問其它任何的網站時，都不需要再 次登錄。b、 會員在第一次登錄時，Passport服務器驗證身份之后，生成的cookie驗證票，只需保存到Passport服務器所在域的cookie中，不能采用向每個成員 網站所在的域中寫cookie,防止響應時間太長，給會員帶來不友好的瀏覽體驗。 同時，把下發給會員的cookie票保存到Passport服務器的數據庫中，方便驗 證

6、方式和會員行為統計的擴展。c、 會員一經通過身份驗證，成功登錄了某個成員網站（假設為網站A）,需要 利用Session和cookie兩種方式保存會員已經登錄的狀態。d、 同一個瀏覽器進程中，會員在網站A的頁面間跳轉時，只需要根據Session中的狀態變量加載登錄框。不需要再與Passport服務器通信驗證會員 的身份。e、會員通過驗證登錄了網站A,若會員從網站A跳轉或重新打開瀏覽器登錄 其它成員網站（假設網站B）,都需要與Passport服務器通信驗證會員的票。但 是，這次驗證不要Passport服務器與數據庫中保存的驗證票進行比較驗證，只 需要驗證Passport服務器域中的cookie驗證

7、票據有效即可。f、 對于驗證cookie票，能夠實現加密和數字簽名保證cookie的機密性， 完整性和不可抵賴性。g、 若果Passport服務器Down#后，仍可以直接登錄成員網站。說明：上面高亮顯示的表示二期開發功能。3）登出、修改密碼、找回密碼和成員網站間的跳轉， 請查看IPO圖表中相應的 模塊描述。3.2對功能的規定SSOS統包括注冊、登錄、登出、密碼修改、密碼找回、成員網站問跳轉與 用戶管理模塊。本說明書使用HIP。圖描述系統機構和模塊內部處理功能，它主 要包括層次結構圖和IPO圖兩個部分。層次結構圖描述了整個系統的結構以及各 個模塊之間的關系；IPO圖則描述了在某個特定模塊內部的輸

8、入（I）、處理過 程（P）、輸出（0）思想。A、系統結構圖單點登錄系統f*錄，所有成員網站共用狀態信息，成員雨站在不同的域成員屈站A A身fftfft驗證請求會員管理身粉套證靖求 瞼證票管理 狀態管理成員屈站E E身份驗I I請求童窟向營理 身名臉屆請求 饕證票菅理狀態菅理說盼成員網站服務器與Passport服務器間，通過HTTP和Web Service通信圖1 SSO系統結構圖B、層次結構圖Passport會靈管理生戒是硬稟實理票共用重:定向C、IPO圖表備注：紅色高亮部分，表示修改的邏輯模塊名稱：會貝注冊使老：PassportPassport 務器與各成貝網站輸入部分I處理描述P輸出部分O

9、1.重定向到Passport務器,帶有返回URL和成員網站ID2.輸入信息：郵箱、密俏、區域（暫時沒有使用驗證碼）03 3.提交注冊信息，發出注冊請求。1.郵箱是否可用的實時檢查，及時提示郵箱是否可 用（這里的可用僅僅是表 小符合郵箱的規范，并且 該郵箱沒有被注冊，小表 示真正的可用）。2.爸碼女全級別頭時提小。 根據子符長度、含有子符 的種類，計算安全級別，1.Passort務器保存新會貝信息和會貝驗證票到 數據庫中。2.成員網站Web Service,在成員網站數據庫中添加 會員信息，利用Passid建立 與Passport務器上會員 的映射關系，并返回操作成 功或失敗狀態信息。Passp

10、ort服務器/B-I-4會驗會r員證:員！管票:徐理管j為）理:ip:PT：，目 ”m +驗證狀態管理驗證狀態管理第二階段共用箍證票共用驗證票留成員屈站A成員網站B會員管理一二員登錄會出票據加解及證明站間跳轉碼修改獨 立于 本SSO系統理站!立:模!塊!技回密5Q用:戶意會員注冊圖2系統層次結構圖會員管理4.注冊用戶從郵件中獲得驗證碼，利用驗證號激 活用戶，此時用戶將成為 合法會員。5.會員個性信息(在成員網站填寫)并實時提小用戶。安全級 別分為:太短，差，良，優 四個等級。3.根據區域數據庫，獲得區 域信息下拉框，結合會員區域IP,實現區域自動篩 選，在允許的誤差范圍內 不需手動選擇區域。4

11、.建立新會員(1)驗證會員提交的注冊信息，若合法，把用丁激活 帳號的驗證碼發送到會員 測試使用的郵箱中。(2)會員使用驗證碼激活帳號，若激活成功，保存會 員信息和會員驗證票到數 據庫(Passport服務器數據 庫),并且驗證票也保存到cookie中。同時調用成員 網站的Web Service接口， 把剛才產生的Passid保存 到成員網站數據庫中(建 立映射關系)。重定向到成員網站。(4)成員網站接收數據，提示會員填寫個性信息，并 提交到成員網站服務器。(5)保存個性信息與接收的會員驗證信息到成員網站 數據庫與cookie中，同時 在Session中保存會貝已驗 證的狀態信息。(5)導航會員

12、到某個頁面。3.修改成員網站數據庫中會員的個性信息。4.保存會員驗證票到cookie中，同時保存會員通過驗證 的狀態到Session中。表1:會員注冊模塊模塊名稱：會員登錄使者：PassportPassport 務器與各成員網站輸入部分I處理描述P輸出部分O1.會員第一次登錄時輸入Email和密碼。2.提交會員信息到1.在成員網站A含有登錄框頁面的head嘔，利用在貞 頭嵌入.aspx文件（成員網站 上的文件）。a.頁面首先查看Session中的 狀態尖量，如果狀態尖量為NULL,貝U查看cookie中的狀 態變量。b.根據Session與Cookie中 狀態尖量的情況，實現與Passport

13、務器上的WebService通信，確定會員是否已經登錄。2.根據會員登錄與否，加載登錄框。3.如果沒有登錄，顯示會員輸入Email和密碼的登錄 框。4.會員提交信息到Passport服務器上的Web Service通 過驗證后生成cookie票，并 返回登錄狀態值和cookie票 到成員網站。成員網站保存 登錄狀態尖量與cookie票。 說明：會員通過任何一個成 員網站登錄成功后，表示已 經登錄了所有的成員網站。驗證票，保存到數據庫與cookie中3.Passport Web Service返回登錄狀態值與cookie驗證票到成員網站。4.保存會員驗證票到cookie中，同時保存會員 通過驗證

14、&勺狀態到Session中。r 1表2:會員登錄模塊模塊名稱：會員登出使者：PassportPassport 務器與各成員網站輸入部分I處理描述P輸出部分O1.成員網站重定向到Passport務器的登出貞 面，并帶有返回URL，成員 網站ID和驗證集。1.在成員網站A重定向到Passport服務器,Passport接收cookie驗證票，并驗證 是否合法。2.Passport#改數據庫中驗證票使之失效，活除cookie中的驗證票。3.重定向到成員網站， 活除cookie中的驗證票和Session中登錄狀態尖量。4.導航會員到某個貞面。1.修改數據庫中的驗證票使之失效，并活除cookie

15、。2.重定向到成員網站。表3:會員登出模塊名稱：修改密碼使者：PassportPassport 務器與各成員網站輸入部分I處理描述P輸出部分O1.成員網站重定向到Passport務器修改密碼 貝向，并帶有返回URL,驗證cookie票。2.會員輸入原密俏和新密碼。3.提交數據。1.在成員網站A重定向到Passport服務器,Passport接收cookie驗證票，并驗證 是否合法。2.PassportB改會員密碼。3.重定向到成員網站， 并帶有修改成功與否的狀態變里。4.導航會員到某個貞面。1.修改數據庫中會員的密碼。2.重定向到成員網站。表4:會員登出模塊名稱：找回密碼一使者：Passpor

16、tPassport 務器與各成員網站輸入部分I處理描述P輸出部分O1.成員網站重定向到Passport務器找回密碼 頁面，并帶有驗證cookie票。2.會員輸入Email地址3.提交數據4.激活新密碼（郵箱將收到 一個激活密碼的URL）1.在成員網站A重定向到Passport服務器,Passport接收cookie驗證票，并驗證 是否合法。2.Passport為會員生成新密碼，并向會員郵箱中發送一個激活密碼的URL。3.激活新密碼4.使用新的密碼登錄1.為會員生成新密碼，但未 激活。2.提示會員收郵件激活新密碼，激活后方可使用。表5:找回密碼模塊名稱：成員網站問跳轉使者：PassportPas

17、sport 務器與各成員網站輸入部分I處理描述P輸出部分O|成員網站A鏈接到其它成員網站B,之后處理同會員登錄模塊。表6:成員網站跳轉模塊名稱：票據加解密及驗證使PassportPassport 務器輸入部分I處理描述P輸出部分O1.會員Passid票據發布時1.接收成員網站請求數據1.生成加金的cookie票。j問、票據有效時間、會員 其它信息數據。2.調用Web Service方法驗證a.傳入Email和密碼b.傳入cookie驗證票（Email與密碼）。2.由會員Passid票據發布時間、 票據有效時間、 會員 其它信息數據生成加密的cookie驗證票，并且保存到數據庫和cookie中。

18、3.接收cookie驗證票， 解 密并驗證，返回給成員網站 登錄狀態值。2.返回會員登錄狀態值。表7:票據加解密及驗證3.3輸入輸出要求解釋各輸入輸出數據的類型，并逐項對格式、數值范圍、精度等作出準確定義。對軟件的數據輸出及必須標明的控制輸出量進行解釋并舉例，包括對硬拷貝報告（正常結果輸出、狀態輸出及異常輸出）以及圖形或顯示報告的描述。3.4流程邏輯3.4.1注冊流程圖3.4.2會員登錄流程圖3.4.3會員登出流程圖3.4.4會員修改密碼流程圖3.4.5會員找回密碼流程圖3.4.6成員網站間跳轉流程假設從成員網站A跳轉到成員網站B,網站A提供網站B的入口鏈接即可。 導航到網站B后，其流程與會員

19、登錄流程一樣。3.5對性能的規定3.5.1精度3.5.2靈活性設計時需要充分考慮功能的擴展，使功能模塊具有很強的靈活性。靈活性因素：a.操作方式上的變化；b.運行環境的變化；c.同其他軟件的接口或其他軟件對該模塊的集成;d.精度和有效時限的變化；e.計劃的變化或改進。3.6數據管理3.6.1數據管理能力要求說明需要管理的文卷和記錄的個數、表和文卷的大小規模，要按可預見的增長對 數據及其分量的存儲要求做出估算。 比如，在數據庫中設計中會員ID時，若采用 自增型變量要估算會員的數量級，確定采用（int）數據類型，還（bigint）數 據類型。3.6.2數據庫設計（Passport服務器）1) .P

20、ass_Member(會員表)字段名稱數據類型刀說明備注mPassIDBigint會員ID號自增型，PK（鍵）mNameNvarchar(64)會員名Email作為會員名（創建索 引）mPwdNvarchar(32)會員密倩數據庫中保存MD5!算的結 果mGBPwdNvarchar(32)會員找回密碼會員找回密俏時，生成的密 碼，會員激活后覆蓋會員密俏mWakeTinyint會員喚醒當和成貝網站建立映4、J關系后，喚醒該會員mMapWebsiteNvarchar(128)會員映射的成員站點建立公貝映身J關系的成貝網站申mRegDTDatetime會員注冊時間mAreaCodeNvarchar(

21、8)區域代號mBackNvarchar(64)預留字段預留擴展注意：成員網站的會員表，需要通過mPassID字段建立與Pass_Membe表中會員 的映射關系。備注：60-11-20添加兩個字段（紅色高亮）2）.Member_WebSite（成員網站表）字段名稱數據類型說明備注mWebIDint成員網站ID編號PK（主鍵）mWebNameNvarchar(32)成員網站名稱mWebURLNvarchar(32)成員網站URLmWebIPNvarchar(16)成員網站IPmWebManagerNvarchar(16)成員網站管理員成員網站故障時，便丁維護mWMTelNvarchar(16)成員

22、管理員電話mBackNvarchar(64)預留字段預留擴展3).Member_Ticket(會員票據表)字段名稱數據類型說明備注mTicketIDNvarchar(240)驗證票編碼PK（主鍵）mPassIDBigint會員ID號FK(關聯Pass_Membe法mPassIDissueDTDatetime票簽發日期時間availDTdatetime票有效日期時間digitalSignNvarchar(32)票的數字簽名用丁保證票的安全mBackNvarchar(64)預留字段預留擴展4）.Member_SignRecord（會員登錄記錄表）字段名稱數據類型說明備注IDBigint記錄ID號P

23、K（主鍵）mPassIDBigint會員ID號FK(關聯Pass_Membe法mPassID)signinDTDatetime登錄日期時間signinWebIDint登錄網站ID編號FK(關聯Member_WebSitet)signoutDTDatetime登出日期時間signoutWebIDint登出網站ID編號FK(關聯Member_WebSitet)mBackNvarchar(64)預留字段預留擴展3.6.3數據處理創建作業1、定時把驗證票的記錄導入的備份表中，供統計分析使用。2、定時把一天以上沒有激活的會員刪除3.7 Passport服務器與成員網站接口規范3.7.1 Passport

24、服務器入口及調用接口a.注冊入口重定向規范：成員網站注冊重定向地址http:/ Redirect=http:/ 53D2FD484DC6FAD75E82；UserName=PassID=1234則成員網站重定向地址為：http:/ Service通信規范:若用戶從成員網站A重定向到Passport服務器注冊會員時，Passport調 用成員網站Web Service接口，建立Passport數據庫與網站A數據庫中會員的 關聯，關聯字段為Pass_Membe決中的mPassID。Web Service名稱：pass_user_related所有者：成員網站調用者：Passport服務器輸入參數：PassID:字符申，表示會員ID號輸出參數：Flag :布爾型，表示是否成功建立關聯b.登錄接口驗證cookie票Web Service規范：成員網站本地域存在cookie驗證票時，使用的