单点登陆概要设计说明书V1.30.doc

统一身份系统(单点登陆)概要设计说明书编写人（签字）： 日期： xxxx年xx月xx日用户方项目代表（签字）： 日期：xxxx年xx月xx日开发方项目代表（签字）： 日期：xxxx年xx月xx日质量保证 代表（签字）： 日期：xxxx年xx月xx日目 录第一章 引言31.1编写目的31.2背景31.3定义41.4参考资料4第二章 总体设计（系统架构设计）52.1需求规定52.2运行环境52.3基本设计概念和处理流程62.4 系统结构（系统各个组件设计）8登陆界面与工作流程8映射表管理界面与工作流程9第三章 系统数据结构设计103.1数据库逻辑结构设计104.物理模型104.0 表汇总104.1 表Mapping104.2 表Collaborator105. 安全性设计115.1 防止用户或管理员非法操作数据库的方法115.2 检验身份时通讯的加密方法115.3 角色与权限11第一章 引言1.1编写目的本文档作为SSO的概要设计说明文档，用于与用户确定最终的目标，并成为协议文本的一部分，同时也是本系统设计人员的基础文档。1.1.1 概要设计说明书目的本概要设计说明书说明了单点登陆系统(SSO)设计的整体结构。1.1.2 预期读者本系统开发人员,指导老师及维护人员。1.2背景随着时代的发展,各类形形色色的网址越来越多.导致上网期间,用户浏览多个网页需要多次登陆.企业在信息化建设过程中,经常采用逐步信息化的方式.因此,造成企业内部各个应用系统的用户目录不完全兼容.进而使得各应用系统相互独立,形成信息的孤岛.企业内部的员工在办公时都需要多次重复登陆.然而，一个能实现统一登录的程序就显得原来越重要.单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制.1.2.1 待开发软件系统的名称单点登陆系统(SSO) 1.2.2 项目的任务提出者白晨明(指导老师)1.2.3 项目的任务开发者东莞理工学院城市学院12级软件工程3班第5开发小队1.3定义1.3.1 本文档中涉及的专业词汇1、构件：具有某种功能的可重用的软件模版单元，表示了系统中主要的计算元素和数据存储。2、逻辑视图：描述支持系统的功能需求的视图。3、开发视图：也称模块视图，主要侧重于软件模块的组织和管理描述。1.3.2 名词说明1、SSO：Single Sign On2、JSP（JavaServer Pages）JSP技术使用Java编程语言编写类XML的tags和scriptlets，来封装产生动态网页的处理逻辑。网页还能通过tags和scriptlets访问存在于服务端的资源的应用逻辑。JSP将网页逻辑与网页设计和显示分离，支持可重用的基于组件的设计，使基于Web的应用程序的开发变得迅速和容易1.4参考资料【01】王珊 萨师煊，数据库系统概论，高等教育出版社，2006-05-04【02】牛丽平 郭新志，UML面向对象设计与分析，清华大学出版社，2007-07【03】Cay S.Horstmann,Gary Cornell，Java核心技术 卷II 高级特性，机械工业出版社，2013-12【04】刘乃琦 王冲，JSP应用开发与实践，人民邮电出版社，2012-12【05】谢希仁，计算机网络，电子工业出版社，2013-06第二章 总体设计（系统架构设计）2.1需求规定2.1.1输入输出要求因为该系统只涉及登陆和加密,不需要计算浮点数.对精度没什么要求.只是要保证系统对Cookie的识别能力.2.1.2时间要求a 客户首次登陆所花时间与原先的登陆时间一样.b 合作网站的扩展所需的更新时间大概10秒.c 在合作网站间的切换都是由服务器验证,对于用户来说是无缝切换.2.1.3灵活性要求a 用户可以自由选择是单向映射授权还是双向映射授权b 用户的某一个账号丢失可以向某一个网站的管理员申请断开该网站向其它网站的授权,防止二次损失.c 合作网站的扩展只是需要修改一个映射表,大概10s就可以完成扩展.2.2运行环境2.2.1设备硬件设备：手提电脑5台网络部件：TP-Link的路由器客户端/服务器：普通pc机2.2.2支撑软件操作系统：Windows 7,Windows 8编译程序:MyEclipse 10, EclipseEE数据库: SQL Server 2012应用服务器：Tomcat 7.02.3基本设计概念和处理流程2.3.1系统概述当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据ticket；用户再访问别的应用的时候就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。2.3.2总体架构设计、系统层次图单点登陆系统(SSO)登陆及映射授权模块合作网站扩展模块管理员维护模块、结构图(登陆及映射授权模块)2.4 系统结构（系统各个组件设计）登陆界面与工作流程映射表管理界面与工作流程第三章 系统数据结构设计3.1数据库逻辑结构设计3.1.1实体关系（Entity-Relationship）图3.1.2数据库表的逻辑设计4.物理模型4.0 表汇总表名功能说明Mapping记录各网站账号之间的映射关系Collaborator记录各网站的解密时的密钥4.1 表Mapping表名Mapping列名数据类型空/非空约束条件表示含义IDchar(20) 非空主键本网站用户Cnamechar(20)非空主键合作网站名字Cidchar(20)非空无合作网站用户Competencechar(20)）非空只能是Allow或是Ban授权情况补充说明1.ID为外键，关联着(本网站)用户表中的用户ID2.Cid为外键，关联着Collaborator表中的Cname.4.2 表Collaborator表名Collaborator列名数据类型空/非空约束条件表示含义Cnamechar(20)非空主键合作网站名字Addrchar(500)非空无数据库通讯地址Midchar(50)非空无X管理员账号Mpasswordchar(50)非空无X管理员密码ReadKeychar(500)非空无解密密钥DBTypechar(20)非空只能是MySQL，SQLServer,Oracle中的其中一个数据库类型补充说明5. 安全性设计5.1 防止用户或管理员非法操作数据库的方法1.用户权限控制系统内每个用户角色限制权限，不同的角色拥有不同的权限，此部分应用系统原有控制模块实现。而各系统间的访问权限则是我们解决的问题。用户通过在一个网站使用合作网站验证后进行单映射或对等映射，进行网站间的授权。每个网站的普通管理员通过对映射表操作，解除用户在各系统间的映射关系，或禁止用户进行映射操作。X管理员是只能对映射表进行删改查且不能改表结构的一种特殊管理员。2.扩展合作网站(系统) 对合作网站的扩展，主要通过修改Collaborator 表的来实现的。只有S管理员才能对上述表进行表结构的更改。5.2 检验身份时通讯的加密方法使用非对称密钥加密方法对通讯进行加密。非对称密钥的加密方法，即发送方只能对数据进行加密，而不能对加密后的数据进行解密。接受方则相反。用户发送的信息即使被人恶意获取到，也不可能知道密码的具体数据，即做到了对账号密码的更强的保