中国移动统一认证、单点登录系统两级接口联调方案

1、中国移动通信有限公司中国移动通信有限公司统一认证、单点登录系统统一认证、单点登录系统两级接口两级接口联调测试计划联调测试计划 v1.0中国移动通信集团公 司二一年六月文档变更记录序号变更内容说明版本号版本日期执笔人123目目 录录1、 范围范围.42、 总体说明总体说明.42.1、 系统架构说明.42.2、 指导原则.62.3、 系统要求.62.4、 测试目标.63、 测试时间测试时间.74、 测试人员测试人员.75、 接口说明接口说明.76、 接口用例接口用例.86.1、 省认证中心的认证服务和一级认证服务之间接口.86.1.1、 用户认证接口 .86.1.2、 创建用户通行证 .106.1

2、.3、 重置用户互联网密码 .116.2、 省认证中心登录服务和一级认证枢纽登录服务.136.2.1、 用户凭证查询 .136.2.2、 单点登录会话报活接口 .166.2.3、 用户登出通知 .187、 测试报告要求测试报告要求.201、范围范围本文档规范了中国移动统一认证、单点登录系统的一级认证枢纽和省认证中心两级之间接口联调要求。供中国移动内部和厂商共同使用，用于指导中国移动各省（直辖市、自治区）统一认证、单点登录系统的两级接口的联调。2、总体说明总体说明2.1、系统架构说明系统架构说明中国移动统一认证、单点登录系统改造采用“两级架构”，一级和省级。体系结构图如下图：登录服务认证服务a省

3、crm系统一级业务平台一级门户网站a省业务平台a省门户网站登录服务认证服务b省crm系统认证服务登录服务a省认证中心b省认证中心一级认证枢纽b省业务平台b省门户网站单点登录数据流统一认证数据流一级系统a省系统b省系统1、一级认证枢纽用来收敛一级门户网站和一级业务平台的请求2、省级认证中心用来收敛省级门户网站和省级业务平台的请求 用户认证都在其归属省的 crm 系统中认证，认证成功后的用户信息保存在一级认证枢纽或者省级认证中心中的其中之一。用户在一级认证枢纽登录：用户在一级认证枢纽登录：以用户访问一级门户网站为例说明，用户访问一级门户网站，在一级网站输入用户的认证信息，提交认证信息。一级登录服务

4、接收到请求之后，判断用户是否登录，如果用户没有登录，一级登录服务请求一级认证服务认证。一级认证服务接收到一级登录服务的请求，请求省级认证服务认证。省级认证服务接收到一级认证服务的认证请求之后，请求省crm 系统做用户信息认证。省 crm 处理用户认证之后将认证数据返回。如上图红线所示。用户认证成功后的数据保存在一级认证枢纽的登录服务中。用户要访问其他网站（可能是一级网站，也可能是省级网站），该网站要求用户登录，用户登录该网站过程，实际是用户单点登录的过程，用户凭证信息都从一级认证枢纽的登录服务中获得。如上图蓝线所示。用户在省认证中心登录：用户在省认证中心登录：以用户访问省级门户网站为例说明，用

5、户访问省级门户网站，在省级网站输入用户的认证信息，提交认证信息。省登录服务接收到请求之后，判断用户是否登录，如果用户没有登录，省登录服务请求省认证服务认证。省认证服务接收到省登录服务的请求之后，请求省 crm 系统做用户信息认证。省 crm 处理用户认证之后将认证数据返回。如上图红线所示。用户认证成功后的数据保存在省认证中心的登录服务中。用户要访问其他网站（可能是一级网站，也可能是省级网站），该网站要求用户登录，用户登录该网站过程，实际是用户单点登录的过程，用户凭证信息都从省认证中心的登录服务中获得。如上图蓝线所示。用户在认证和登录的过程，涉及到比较复杂的系统间的用户信息交互过程。 2.2、指

6、导原则指导原则执行过程正确、可靠；每一步骤尽可能详细、清楚，责任明确；每一步骤都有监督，执行完毕必须检查结果；测试过程应尽可能全面。2.3、系统要求系统要求一级认证枢纽和省认证中心应用成功部署；一级认证枢纽和省认证中心网络环境要求连通。在测试开始以前，一级认证枢纽和省认证中心需要知道对端服务地址在测试开始以前，一级认证枢纽和省认证中心需要知道对端服务地址省名称省名称登录服务接口登录服务接口 ipip 地址地址登录服务接口端口登录服务接口端口认证服务接口认证服务接口 ipip 地址地址认证服务接口端口认证服务接口端口2.4、测试目标测试目标中国移动统一认证、单点登录系统的两级接口联调是一级认证枢

7、纽和 32 个省认证中心之间业务对接的功能性测试。确保两级接口功能正确。确认一级认证枢纽和 32 个省认证中心业务处理的正确性，为统一认证、单点登录系统上线做准备。3、测试时间测试时间批次批次省省 bossboss 进度安排进度安排110 省（）2010-6-15 4、测试人员测试人员在联调开始以前，一级认证枢纽和省认证中心需要上报联系人。各方配合完成联调工作。省名称省名称姓名姓名手机手机email角色角色5、接口说明接口说明登录服务认证服务if2省级业务平台省级门户网站一级门户网站登录服务认证服务if3省级认证中心if1if1if1if3if2一级认证枢纽省crm系统if4一级门户网站if1

8、单点登录数据流统一认证数据流根据省认证中心和周边系统的数据交互关系，可分为四类接口。如上图if1、if2、if3、if4 四类。1、if1 接口指的是门户网站、业务平台和省认证中心登录服务模块之间的接口。2、if2 接口指的是一级认证枢纽和省级认证中心之间的接口。3、if3 接口指的是一级认证枢纽和省级认证中心的登录服务模块和认证服务模块之间的接口。4、if4 接口指的是省级认证中心的认证服务模块和省 crm 系统的客户管理域之间的接口。本次联调的重点是本次联调的重点是 if2if2 接口，包含用户凭证信息获取、单点登录会话报活通知、单点登接口，包含用户凭证信息获取、单点登录会话报活通知、单点

9、登出通知、用户信息认证、用户通行证创建接口、用户互联网密码重置接口出通知、用户信息认证、用户通行证创建接口、用户互联网密码重置接口6、接口用例接口用例6.1、省认证中心的认证服务和一级认证服务之间接口省认证中心的认证服务和一级认证服务之间接口6.1.1、用户认证接口用户认证接口接口名称接口名称认证接口测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽接口功能接口功能描述描述用户在一级枢纽输入用户认证信息，省认证中心认证用户信息，并返回用户认证信息。测试编号测试编号001测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 测

10、试手机号码，该手机号码为认证服务提供方省手机号测试步骤测试步骤1、 一级认证枢纽保证调用接口所需要的参数1)diameter session-id2)用户手机号3)密码类型4)密码2、 两级确认socket通信的对端的地址和端口3、 一级发送用户认证信息4、 省认证中心接收一级枢纽认证请求，并做认证5、 省认证中心返回认证结果6、 一级接收认证结果。1)diameter session-id2)返回结果编码3)用户手机号4)用户真实姓名5)用户归属省编码6)用户品牌7)用户状态8)data9)认证不成功次数10) 认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁11) 用户昵称12

11、) 飞信开通状态13) 手机邮箱开通状态预期结果预期结果1、 两级socket可以正常连接2、 一级发送数据正确3、 省级正确认证用户信息4、 一级接收数据正确正常情况正常情况1）socket连接正常2）用户手机号、密码类型、密码正确且匹配异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在）3） 密码类型有误（空或者密码和密码类型不匹配）4） 密码错误（空或者密码和手机号码不匹配）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责

12、人省级负责人测试时间测试时间备注备注6.1.2、创建用户通行证创建用户通行证接口名称接口名称通行证创建接口测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽接口功能接口功能描述描述用户在一级枢纽输入创建用户通行证必要的信息，省认证中心接收用户通信证返回用户认证成功信息。测试编号测试编号002测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号测试步骤测试步骤1、 一级认证枢纽保证调用接口所需要的参数1)diameter session-id2)用户手机号3)用户昵称4)互联网

13、密码5)操作（01）2、 两级确认socket通信的对端的地址和端口3、 一级发送用户通行证创建信息4、 省认证中心接收一级枢纽通行证创建请求5、 省认证中心返回创建结果，同时将认证的结果返回。6、 一级接收通行证创建和用户认证结果。1)diameter session-id2)返回结果编码3)用户手机号4)用户真实姓名5)用户归属省编码6)用户品牌7)用户状态8)data9)认证不成功次数10) 认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁11) 用户昵称12) 飞信开通状态13) 手机邮箱开通状态预期结果预期结果1、 两级socket可以正常连接2、 一级发送数据正确3、

14、省级正确创建用户通行证信息4、 一级接收数据正确正常情况正常情况1）socket连接正常2）用户手机号、用户昵称、密码正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在）3） 密码错误（密码为空）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.1.3、重置用户互联网密码重置用户互联网密码接口名称接口名称重置用户互联网密码测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方

15、一级认证枢纽接口功能接口功能描述描述用户注册成功之后，用户登录忘记互联网密码，此接口提供用户在一级认证枢纽重置用户互联网密码。测试编号测试编号003测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号3、 该手机号的互联网密码已经存在测试步骤测试步骤1、 一级认证枢纽保证调用接口所需要的参数1)用户手机号2)服务密码3)互联网密码2、 两级确认socket通信的对端的地址和端口3、 一级发送用户互联网密码重置信息4、 省认证中心接收一级枢纽互联网密码重置请求，并将重置信息转发给省crm5、 省认证中心接

16、收省crm返回结果，并将结果返回给一级认证枢纽6、 一级接收认证结果，并检查认证结果。1)用户手机号2)返回重置结果3)结果说明预期结果预期结果1、 两级socket可以正常连接2、 一级发送数据正确3、 一级需要检查用户的短信验证码是否正确4、 省级接收用户重置密码信息正确，并将信息转发给省crm重置密码。5、 crm重置用户互联网密码后，返回给省认证中心。6、 省认证中心获得用户互联网密码重置成功信息后，省认证中心检查该帐号是否有认证失败记录，若果有认证失败记录，将认证失败的次数清零。处理成功后返回一级认证枢纽。7、 一级认证枢纽接收认证正确的返回结果。正常情况正常情况1）socket连接

17、正常2）用户手机号、服务密码正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在）3） 服务密码（为空、与用户手机号码不匹配）4） 互联网密码（为空、密码的长度过长或者过短）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.2、省认证中心登录服务和一级认证枢纽登录服务省认证中心登录服务和一级认证枢纽登录服务6.2.1、用户凭证查询用户凭证查询6.2.1.1、一级认证枢纽调用省认证中心查询用

18、户凭证一级认证枢纽调用省认证中心查询用户凭证接口名称接口名称用户凭证查询接口测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽接口功能接口功能描述描述用户登录或者用户sso过程，两级间互为对方提供用户凭证信息。测试编号测试编号004测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号3、 用户在省认证中心已经登录，用户的uid已经产生测试步骤测试步骤1、 一级认证枢纽保证调用接口所需要的参数值1)一级认证枢纽构造必要的saml参数2)uid 用户id（省认证中心提供给一级枢纽

19、）2、 两级确认socket通信的对端的地址和端口3、 一级认证枢纽发送用户凭证请求信息4、 省认证中心接收一级认证枢纽凭证请求，处理请求5、 省认证中心根据uid找到用户凭证，省认证中心构造必要的saml的返回信息，对用户saml总断言信息做摘要，并作数字签名，将处理好的信息返回一级认证枢纽。6、 一级接收凭证，首先对数字签名信息进行验证，验证成功后，7、 需要检查以下数据项是否正确。1)用户手机号2)用户真实姓名3)用户归属省编码4)用户品牌5)用户状态6)data7)认证不成功次数8)认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁9)用户昵称10) 飞信开通状态11) 手机

20、邮箱开通状态预期结果预期结果1、 两级socket连接正常2、 一级发送凭证请求数据正确3、 省认证中心需要对凭证信息中的断言信息的做数字摘要和数字签名4、 一级认证枢纽验证数字签名正确5、 一级认证枢纽接收数据正确正常情况正常情况1）socket连接正常2）uid正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的其他字符）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.

21、2.1.2、省认证中心调用一级认证枢纽查询用户凭证省认证中心调用一级认证枢纽查询用户凭证接口名称接口名称用户凭证查询接口测试类型测试类型接口提供方接口提供方一级认证枢纽接口调用方接口调用方省认证中心接口功能接口功能描述描述用户登录或者用户sso过程，两级间互为对方提供用户凭证信息。测试编号测试编号005测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号3、 用户在一级认证枢纽已经登录，用户的uid已经产生测试步骤测试步骤1、 省认证中心保证调用接口所需要的参数值1)省认证中心构造必要的saml参数2)

22、uid 用户id（一级认证枢纽提供给省认证中心）2、 两级确认socket通信的对端的地址和端口3、 省认证中心发送用户凭证请求信息4、 一级认证枢纽接收省认证中心凭证请求，处理请求5、 一级认证枢纽根据uid找到用户凭证，一级认证枢纽构造必要的saml的返回信息，对用户saml总断言信息做摘要，并作数字签名，将处理好的信息返回一省认证中心。6、 省认证中心接收凭证，首先对数字签名信息进行验证，验证成功后，7、 需要检查以下数据项是否正确。1)用户手机号2)用户真实姓名3)用户归属省编码4)用户品牌5)用户状态6)data7)认证不成功次数8)认证不成功次数阀值，如果超过此次数用户再次不能认证

23、，除非解锁9)用户昵称10) 飞信开通状态11) 手机邮箱开通状态预期结果预期结果1、 两级socket连接正常2、 省认证中心发送凭证请求数据正确3、 一级认证枢纽需要对凭证信息中的断言信息的做数字摘要和数字签名4、 省认证中心验证数字签名正确5、 省认证中心接收数据正确正常情况正常情况1）socket连接正常2）uid正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的其他字符）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人

24、员测试人员省级负责人省级负责人测试时间测试时间备注备注6.2.2、单点登录会话报活接口单点登录会话报活接口6.2.2.1、一级认证枢纽通知省认证中心报活单点登录会话一级认证枢纽通知省认证中心报活单点登录会话接口名称接口名称单点登录会话报活接口测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽接口功能接口功能描述描述防止用户长时间在某网站上停留而导致用户单点登录会话登出。测试编号测试编号006测试优先级测试优先级高创建人创建人创建时间创建时间前置条件前置条件1、 两级的服务部署成功2、 用户在省认证中心已经登录，用户的uid已经产生测试步骤测试步骤1、 一级认证枢纽保

25、证调用接口所需要的参数值1)一级认证枢纽构造必要的saml参数2)用户id（省认证中心提供给一级枢纽）2、 两级确认socket通信的对端的地址和端口3、 一级认证枢纽发送报活通知信息4、 省认证中心接收一级枢纽报活通知，并将用户的单点登录会话延长一个单点登录会话时长。5、 省认证中心返回处理结果6、 一级认证枢纽接收处理结果。预期结果预期结果1、 两级socket连接正常2、 一级发送数据正确3、 省级正确报活信息信息4、 一级认证枢纽接收返回数据正确正常情况正常情况1）socket连接正常2）uid正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可

26、以自动连接）2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的其他字符）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.2.2.2、省认证中心通知一级认证枢纽报活单点登录会话省认证中心通知一级认证枢纽报活单点登录会话接口名称接口名称单点登录会话报活接口测试类型测试类型接口提供方接口提供方一级认证枢纽接口调用方接口调用方省认证中心接口功能接口功能描述描述防止用户长时间在某网站上停留而导致用户单点登录会话登出。测试编号测试编号007测试优先级测试优先级高创建人创建人创建时间创建

27、时间前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号3、 用户在一级认证枢纽已经登录，用户的uid已经产生测试步骤测试步骤1、 省认证中心保证调用接口所需要的参数值1)省认证中心构造必要的saml参数2)用户id（一级认证枢纽提供给省认证中心）2、 两级确认socket通信的对端的地址和端口3、 省认证中心发送报活通知信息4、 一级认证枢纽接收省认证中心报活通知，并将用户的单点登录会话延长一个单点登录会话时长。5、 一级认证枢纽返回处理结果正常情况正常情况1）socket连接正常2）uid正确异常情况异常情况3） socket连接异常（对端端口、地

28、址错，修改正确后，长连连接是否可以自动连接）4） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的其他字符）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.2.3、用户登出通知用户登出通知6.2.3.1、一级认证枢纽通知省认证中心登出一级认证枢纽通知省认证中心登出接口名称接口名称用户登出通知接口测试类型测试类型接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽接口功能接口功能描述描述用户登录成功之后，在发起登出请求，统一认证、单点登录系统需要将用户所有已经登录的网站

29、登出，然后统一认证、单点登录系统自身登出处理。测试编号测试编号008测试优先级测试优先级高创建人创建人创建时间创建时间6、 省认证中心接收处理结果。预期结果预期结果1、 两级socket连接正常2、 省认证中心发送数据正确3、 一级认证枢纽正确报活用户单点登录会话4、 省认证中心接收返回数据正确前置条件前置条件1、 两级的服务部署成功2、 测试手机号码，该手机号码为认证服务提供方省手机号3、 用户在一级认证枢纽已经登录，用户的uid已经产生测试步骤测试步骤1、 一级认证枢纽保证调用接口所需要的参数值1)一级认证枢纽构造必要的saml参数 2)用户id（省认证中心提供给一级认证枢纽）2、 两级确

30、认socket通信的对端的地址和端口3、 一级认证枢纽发送用户登出通知信息4、 省认证中心接收一级认证枢纽报活通知，省认证中心通知用户已经登录的网站登出，如果用户在省认证中心登录，省认证中心登出用户信息。5、 省认证中心返回处理结果6、 一级认证枢纽接收处理结果。预期结果预期结果1、 两级socket可以正常连接2、 一级认证枢纽发送用户登出数据正确3、 省认证中心正确处理用户登出。4、 一级认证枢纽接收省认证中心正确返回结果正常情况正常情况1）socket连接正常2）uid正确异常情况异常情况1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接）2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的其他字符）正常情况正常情况实际结果实际结果异常情况异常情况一级负责人一级负责人测试人员测试人员省级负责人省级负责人测试时间测试时间备注备注6.2.3.2、省认证中心通知一级认证枢纽登出省认证中心通知一级认证枢纽登出接口名称接口名称用户登出通知接口测