為了單點(diǎn)登錄系統(tǒng)(SSO系統(tǒng))的可行性�,完整性,并能按照預(yù)期的設(shè)想實(shí)現(xiàn)該系統(tǒng)���,特編寫需求說明書����。
同時(shí)����,說明書也發(fā)揮與策劃和設(shè)計(jì)人員更好地溝通的作用。
a.鑒于集團(tuán)運(yùn)營(yíng)的多個(gè)獨(dú)立網(wǎng)站(稱為成員站點(diǎn))���,每個(gè)網(wǎng)站都具有自己的身份驗(yàn)證機(jī)制�,這樣勢(shì)必造成:生活中的
一位用戶,如果要以會(huì)員的身份訪問網(wǎng)站���,需要在每個(gè)網(wǎng)站上注冊(cè)�����,并且通過身份驗(yàn)證后�,才能以會(huì)員的身份訪問網(wǎng)
站���;即使用戶以同樣的用戶名與密碼在每個(gè)網(wǎng)站上注冊(cè)時(shí),雖然可以在避免用戶名與密碼的忘記和混淆方面有一定的
作用�,但是用戶在某一段時(shí)間訪問多個(gè)成員站點(diǎn)或在成員站點(diǎn)間跳轉(zhuǎn)時(shí),還是需要用戶登錄后�,才能以會(huì)員的身份訪
問網(wǎng)站。這樣不僅給用戶帶來了不便���,而且成員網(wǎng)站為登錄付出了性能的代價(jià)�;
b.如果所有的成員網(wǎng)站���,能夠?qū)崿F(xiàn)單點(diǎn)登錄����,不僅在用戶體驗(yàn)方面有所提高,而且真正體現(xiàn)了集團(tuán)多個(gè)網(wǎng)站的兄弟
性��。通過這種有機(jī)結(jié)合��,能更好地體現(xiàn)公司大平臺(tái)����,大渠道的理念。同時(shí)���,這樣做也利于成員網(wǎng)站的相互促進(jìn)與相互
宣傳��。
正是出于上面的兩點(diǎn)����,單點(diǎn)登錄系統(tǒng)的開發(fā)是必須的�����,是迫在眉睫的���。
單點(diǎn)登錄系統(tǒng)提供所有成員網(wǎng)站的“單一登錄”入口��。本系統(tǒng)的實(shí)質(zhì)是含有身份驗(yàn)證狀態(tài)的變量�,
在各個(gè)成員網(wǎng)站間共用。單點(diǎn)登錄系統(tǒng)��,包括認(rèn)證服務(wù)器(稱Passport服務(wù)器)�����,成員網(wǎng)站服務(wù)器��。
會(huì)員:用戶通過Passport服務(wù)器注冊(cè)成功后�����,就具有了會(huì)員身份���。
單一登錄:會(huì)員第一次訪問某個(gè)成員網(wǎng)站時(shí),需要提供用戶名與密碼�,一旦通過Passport服務(wù)器的身份驗(yàn)證,
該會(huì)員在一定的時(shí)間內(nèi)�,訪問任何成員網(wǎng)站都不需要再次登錄。
Cookie驗(yàn)證票:含有身份驗(yàn)證狀態(tài)的變量�。由Passport服務(wù)器生成,票含有用戶名�,簽發(fā)日期時(shí)間��,
過期日期時(shí)間和用戶其它數(shù)據(jù)����。
2�、任務(wù)概述
2.1目標(biāo)
SSO系統(tǒng),是集團(tuán)統(tǒng)一的Passport�,SSO系統(tǒng)分兩個(gè)階段實(shí)施。第一階段對(duì)于新注冊(cè)的用戶提供單點(diǎn)登錄的功能�。
第二階段,整合各個(gè)成員網(wǎng)站已有會(huì)員到單點(diǎn)登錄系統(tǒng)中�����。
Passport服務(wù)器作為各個(gè)成員網(wǎng)站的惟一身份驗(yàn)證入口����,需要考慮其性能,擴(kuò)展性�����,穩(wěn)定性�,安全性和維護(hù)成本。尤其
要注意第二階段的開發(fā)����,做到統(tǒng)籌考慮���。
2.2最終用戶的特點(diǎn)
最終用戶是數(shù)以萬計(jì)網(wǎng)民。這就確定了用戶使用電腦的水平是參差不齊的����,在開發(fā)單點(diǎn)登錄系統(tǒng)時(shí),力爭(zhēng)做到界面友
好�,措詞簡(jiǎn)單明了。用戶不用學(xué)習(xí)����,就能使用該系統(tǒng)。
3��、需求規(guī)定
1) 注冊(cè):
a.成員網(wǎng)站重定向到Passport服務(wù)器的注冊(cè)頁(yè)面��,并且?guī)в蟹祷?/span>URL和成員網(wǎng)站ID��。
b.通過Passport注冊(cè)頁(yè)面創(chuàng)建會(huì)員后��,保存會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)和passport服務(wù)器所在域cookie中���。同時(shí)���,在成員網(wǎng)站
的數(shù)據(jù)庫(kù)上創(chuàng)建與Passport服務(wù)器數(shù)據(jù)庫(kù)中會(huì)員的映射關(guān)系。
c. 重定向到成員網(wǎng)站�����,填寫會(huì)員個(gè)性信息�����。
d. 保存會(huì)員個(gè)性信息���,并把重定向傳入的驗(yàn)證票保存到本地cookie和創(chuàng)建Session狀態(tài)變量����。
2)登錄:
a���、 SSO系統(tǒng)要實(shí)現(xiàn)各個(gè)成員網(wǎng)站的無縫結(jié)合�����,只要會(huì)員經(jīng)過了認(rèn)證服務(wù)器的登錄驗(yàn)證(Passport服務(wù)器)���,該會(huì)員訪
問其它任何的網(wǎng)站時(shí)��,都不需要再次登錄��。
b����、 會(huì)員在第一次登錄時(shí)�����,Passport服務(wù)器驗(yàn)證身份之后����,生成的cookie驗(yàn)證票,只需保存到Passport服務(wù)器所在域的
cookie中��,不能采用向每個(gè)成員網(wǎng)站所在的域中寫cookie,防止響應(yīng)時(shí)間太長(zhǎng)����,給會(huì)員帶來不友好的瀏覽體驗(yàn)。同
時(shí)�����,把下發(fā)給會(huì)員的cookie票保存到Passport服務(wù)器的數(shù)據(jù)庫(kù)中�����,方便驗(yàn)證方式和會(huì)員行為統(tǒng)計(jì)的擴(kuò)展�。
c、 會(huì)員一經(jīng)通過身份驗(yàn)證��,成功登錄了某個(gè)成員網(wǎng)站(假設(shè)為網(wǎng)站A),需要利用Session和cookie兩種方式保存會(huì)員已經(jīng)登
錄的狀態(tài)���。
d�、 同一個(gè)瀏覽器進(jìn)程中���,會(huì)員在網(wǎng)站A的頁(yè)面間跳轉(zhuǎn)時(shí)�����,只需要根據(jù)Session中的狀態(tài)變量加載登錄框����。不需要再與
Passport服務(wù)器通信驗(yàn)證會(huì)員的身份����。
e、 會(huì)員通過驗(yàn)證登錄了網(wǎng)站A,若會(huì)員從網(wǎng)站A跳轉(zhuǎn)或重新打開瀏覽器登錄其它成員網(wǎng)站(假設(shè)網(wǎng)站B),都需要與Passport
服務(wù)器通信驗(yàn)證會(huì)員的票��。但是�,這次驗(yàn)證不要Passport服務(wù)器與數(shù)據(jù)庫(kù)中保存的驗(yàn)證票進(jìn)行比較驗(yàn)證,只需要驗(yàn)證
Passport服務(wù)器域中的cookie驗(yàn)證票據(jù)有效即可�����。
f����、 對(duì)于驗(yàn)證cookie票,能夠?qū)崿F(xiàn)加密和數(shù)字簽名保證cookie的機(jī)密性��,完整性和不可抵賴性�。
g、 若果Passport服務(wù)器Down掉后����,仍可以直接登錄成員網(wǎng)站。
說明:上面高亮顯示的表示二期開發(fā)功能����。
3)登出、修改密碼����、找回密碼和成員網(wǎng)站間的跳轉(zhuǎn)����,請(qǐng)查看IPO圖表中相應(yīng)的模塊描述�����。
3.2對(duì)功能的規(guī)定
SSO系統(tǒng)包括注冊(cè)�、登錄���、登出�、密碼修改��、密碼找回���、成員網(wǎng)站間跳轉(zhuǎn)與用戶管理模塊�。本說明書使用HIPO圖描述
系統(tǒng)機(jī)構(gòu)和模塊內(nèi)部處理功能���,它主要包括層次結(jié)構(gòu)圖和IPO圖兩個(gè)部分����。層次結(jié)構(gòu)圖描述了整個(gè)系統(tǒng)的結(jié)構(gòu)以及各個(gè)
模塊之間的關(guān)系;IPO圖則描述了在某個(gè)特定模塊內(nèi)部的輸入(I)�、處理過程(P)、輸出(O)思想��。
A����、系統(tǒng)結(jié)構(gòu)圖
圖1 SSO系統(tǒng)結(jié)構(gòu)圖
B、層次結(jié)構(gòu)圖
圖2系統(tǒng)層次結(jié)構(gòu)圖
C�、IPO圖表
備注:紅色高亮部分,表示修改的邏輯
|
模塊名稱:會(huì)員注冊(cè)
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1. 重定向到Passport服務(wù)器����,帶
有返回URL和成員網(wǎng)站ID
2. 輸入信息:郵箱、密碼����、區(qū)域(暫時(shí)沒有使用驗(yàn)證碼)。
3 3.提交注冊(cè)信息����,發(fā)出注冊(cè)請(qǐng)求。
4.注冊(cè)用戶從郵件中獲得驗(yàn)證碼����,利用驗(yàn)證號(hào)激活用戶���,此時(shí)用戶將成為合法會(huì)員。
5.會(huì)員個(gè)性信息(在成員網(wǎng)站填寫)
|
1.郵箱是否可用的實(shí)時(shí)檢查���,及時(shí)提示郵箱是否可用(這里的可用僅僅是表示符合郵箱的規(guī)范�����,并且該郵箱沒有被注冊(cè),不表示真正的可用)���。
2.密碼安全級(jí)別實(shí)時(shí)提示��。根據(jù)字符長(zhǎng)度�����、含有字符的種類���,計(jì)算安全級(jí)別,并實(shí)時(shí)提示用戶����。安全級(jí)別分為:太短�,差����,良,優(yōu)四個(gè)等級(jí)����。
3.根據(jù)區(qū)域數(shù)據(jù)庫(kù),獲得區(qū)域信息下拉框����,結(jié)合會(huì)員區(qū)域IP,實(shí)現(xiàn)區(qū)域自動(dòng)篩選���,在允許的誤差范圍內(nèi)不需手動(dòng)選擇區(qū)域�����。
4. 建立新會(huì)員
(1)驗(yàn)證會(huì)員提交的注冊(cè)信息��,若合法�����,把用于激活賬號(hào)的驗(yàn)證碼發(fā)送到會(huì)員測(cè)試使用的郵箱中�����。
(2)會(huì)員使用驗(yàn)證碼激活賬號(hào)����,若激活成功,保存會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)(Passport服務(wù)器數(shù)據(jù)庫(kù)),并且驗(yàn)證票也保存到cookie中�����。同時(shí)調(diào)用成員網(wǎng)站的Web Service接口��,把剛才產(chǎn)生的Passid保存到成員網(wǎng)站數(shù)據(jù)庫(kù)中(建立映射關(guān)系)�。
(3)重定向到成員網(wǎng)站����。
(4)成員網(wǎng)站接收數(shù)據(jù),提示會(huì)員填寫個(gè)性信息���,并提交到成員網(wǎng)站服務(wù)器��。
(5)保存?zhèn)€性信息與接收的會(huì)員驗(yàn)證信息到成員網(wǎng)站數(shù)據(jù)庫(kù)與cookie中��,同時(shí)在Session中保存會(huì)員已驗(yàn)證的狀態(tài)信息�����。
(5)導(dǎo)航會(huì)員到某個(gè)頁(yè)面��。
|
1. Passort服務(wù)器保存新會(huì)員信息和會(huì)員驗(yàn)證票到數(shù)據(jù)庫(kù)中����。
2. 成員網(wǎng)站Web Service,在成員網(wǎng)站數(shù)據(jù)庫(kù)中添加會(huì)員信息��,利用Passid建立與Passport服務(wù)器上會(huì)員的映射關(guān)系��,并返回操作成功或失敗狀態(tài)信息����。
3. 修改成員網(wǎng)站數(shù)據(jù)庫(kù)中會(huì)員的個(gè)性信息。
4.保存會(huì)員驗(yàn)證票到cookie中�,同時(shí)保存會(huì)員通過驗(yàn)證的狀態(tài)到Session中。
|
|
|
|
|
表1:會(huì)員注冊(cè)模塊
|
模塊名稱:會(huì)員登錄
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1. 會(huì)員第一次登錄時(shí)輸入Email
和密碼��。
2. 提交會(huì)員信息到Passport服務(wù)
器��。
說明:加載登錄框之前���,成員網(wǎng)
站會(huì)首先與Passport服務(wù)器通信�����,
獲得會(huì)員是否已經(jīng)登錄過����,根據(jù)
狀態(tài)加載登錄框。
|
1.在成員網(wǎng)站A含有登錄框頁(yè)面的
<head>區(qū)��,利用
<script src=meber_auth.aspx> 在頁(yè)頭嵌入.aspx文件(成員網(wǎng)站上的文件)�����。
a.頁(yè)面首先查看Session中的狀態(tài)變量�����,如果狀態(tài)變量為NULL,則查看cookie中的狀態(tài)變量�。
b.根據(jù)Session與Cookie中狀態(tài)變量的情況��,實(shí)現(xiàn)與Passport服務(wù)器上的Web Service通信�����,確定會(huì)員是否已經(jīng)登錄。
2.根據(jù)會(huì)員登錄與否����,加載登錄框。
3.如果沒有登錄����,顯示會(huì)員輸入Email和密碼的登錄框。
4.會(huì)員提交信息到Passport服務(wù)器上的Web Service ,通過驗(yàn)證后生成cookie票�,并返回登錄狀態(tài)值和cookie票到成員網(wǎng)站。成員網(wǎng)站保存登錄狀態(tài)變量與cookie票�。
說明:會(huì)員通過任何一個(gè)成員網(wǎng)站登錄成功后,表示已經(jīng)登錄了所有的成員網(wǎng)站�����。
|
1.根據(jù)登錄狀態(tài)加載登錄框
2. 在Passport服務(wù)器上創(chuàng)建會(huì)員
驗(yàn)證票��,保存到數(shù)據(jù)庫(kù)與cookie中
3.Passport Web Service 返回登錄
狀態(tài)值與cookie驗(yàn)證票到成員網(wǎng)站����。
4.保存會(huì)員驗(yàn)證票到cookie中,同時(shí)保存會(huì)員通過驗(yàn)證的狀態(tài)到Session中�����。
|
|
|
|
|
表2:會(huì)員登錄模塊
|
模塊名稱:會(huì)員登出
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1.成員網(wǎng)站重定向到Passport服務(wù)器的登出頁(yè)面,并帶有返回URL,成員網(wǎng)站ID和驗(yàn)證票��。
|
1.在成員網(wǎng)站A重定向到Passport服務(wù)器�,Passport接收cookie驗(yàn)證票,并驗(yàn)證是否合法。
2.Passport修改數(shù)據(jù)庫(kù)中驗(yàn)證票使之失效����,清除cookie中的驗(yàn)證票。
3.重定向到成員網(wǎng)站��,清除cookie中的驗(yàn)證票和Session中登錄狀態(tài)變量�����。
4.導(dǎo)航會(huì)員到某個(gè)頁(yè)面�����。
|
1.修改數(shù)據(jù)庫(kù)中的驗(yàn)證票使之失效��,并清除cookie�����。
2.重定向到成員網(wǎng)站���。
|
|
|
|
|
表3:會(huì)員登出
|
模塊名稱:修改密碼
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1.成員網(wǎng)站重定向到Passport服務(wù)器修改密碼頁(yè)面���,并帶有返回URL,驗(yàn)證cookie票。
2.會(huì)員輸入原密碼和新密碼��。
3.提交數(shù)據(jù)�。
|
1.在成員網(wǎng)站A重定向到Passport服務(wù)器,Passport接收cookie驗(yàn)證票,并驗(yàn)證是否合法��。
2.Passport修改會(huì)員密碼�����。
3.重定向到成員網(wǎng)站�����,并帶有修改成功與否的狀態(tài)變量�。
4.導(dǎo)航會(huì)員到某個(gè)頁(yè)面。
|
1.修改數(shù)據(jù)庫(kù)中會(huì)員的密碼�。
2.重定向到成員網(wǎng)站。
|
|
|
|
|
表4:會(huì)員登出
|
模塊名稱:找回密碼
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1.成員網(wǎng)站重定向到Passport服務(wù)器找回密碼頁(yè)面��,并帶有驗(yàn)證cookie票�。
2.會(huì)員輸入Email地址
3.提交數(shù)據(jù)
4.激活新密碼(郵箱將收到一個(gè)激活密碼的URL)
|
1.在成員網(wǎng)站A重定向到Passport服務(wù)器��,Passport接收cookie驗(yàn)證票,并驗(yàn)證是否合法����。
2.Passport為會(huì)員生成新密碼�����,并向會(huì)員郵箱中發(fā)送一個(gè)激活密碼的URL��。
3.激活新密碼
4.使用新的密碼登錄
|
1.為會(huì)員生成新密碼���,但未激活���。
2.提示會(huì)員收郵件激活新密碼,激活后方可使用�。
|
|
|
|
|
表5:找回密碼
|
模塊名稱:成員網(wǎng)站間跳轉(zhuǎn)
|
使用者:Passport服務(wù)器與各成員網(wǎng)站
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
成員網(wǎng)站A鏈接到其它成員網(wǎng)站B,之后處理同會(huì)員登錄模塊��。
|
|
|
|
|
表6:成員網(wǎng)站跳轉(zhuǎn)
|
模塊名稱:票據(jù)加解密及驗(yàn)證
|
使用者:Passport服務(wù)器
|
|
輸入部分 I
|
處理描述 P
|
輸出部分 O
|
|
1.會(huì)員Passid��、票據(jù)發(fā)布時(shí)間���、票據(jù)有效時(shí)間����、會(huì)員其它信息數(shù)據(jù)��。
2.調(diào)用Web Service方法驗(yàn)證
a. 傳入Email和密碼
b. 傳入cookie驗(yàn)證票
|
1.接收成員網(wǎng)站請(qǐng)求數(shù)據(jù)(Email與密碼)���。
2. 由會(huì)員Passid�����、票據(jù)發(fā)布時(shí)間��、票據(jù)有效時(shí)間���、會(huì)員其它信息數(shù)據(jù)生成加密的cookie驗(yàn)證票,并且保存到數(shù)據(jù)庫(kù)和cookie中�。
3. 接收cookie驗(yàn)證票,解密并驗(yàn)證�,返回給成員網(wǎng)站登錄狀態(tài)值。
|
1.生成加密的cookie票����。
2.返回會(huì)員登錄狀態(tài)值。
|
|
|
|
|
表7:票據(jù)加解密及驗(yàn)證
