应用系统单点登录系统开发文档

局应用系统单一登录系统开发文档
Singel Sing-On(SSO)系统
1、背景
a．鉴于局内运行的多个独立网站（称为成员站点），每个网站都具有自己的身份验证机制，这样势必造成：生活中的一位用户，如果要以会员的身份访问网站，需要在每个网站上注册，并且通过身份验证后，才能以会员的身份访问网站；即使用户以同样的用户名与密码在每个网站上注册时，虽然可以在避免用户名与密码的忘记和混淆方面有一定的作用，但是用户在某一段时间访问多个成员站点或在成员站点间跳转时，还是需要用户登录后，才能以会员的身份访问网站。这样不仅给用户带来了不便，而且成员站点为登录付出了性能的代价；
b．如果所有的成员站点，能够实现单一登录，不仅在用户体验方面有所提高，而且真正体现了局内多个网站的兄弟性。通过这种有机结合，能更好地体现政府大平台，大渠道的理念。同时，这样做也利于成员站点的相互促进与相互宣传。
正是出于上面的两点，单一登录系统的开发是必须的，是迫在眉睫的。

2、任务概述
2.1目标
SSO系统，是局内统一的Passport，SSO系统分两个阶段实施。
第一阶段，整合各个成员站点已有会员到单一登录系统中。
第二阶段，对于新注册的用户提供单一登录的功能；已有会员密码修改；成员站点帐号激活。
Passport服务器作为各个成员站点的惟一身份验证(Token)入口，需要考虑其性能，扩展性，稳定性，安全性和维护成本。尤其要注意第一阶段的开发，做到统筹考虑。

2.2最终用户特点
最终用户是局内用户。这就确定了用户使用电脑的水平是参差不齐的，在开发单一登录系统时，力争做到界面友好，措词简单明了。用户不用学习，就能使用该系统。

3、需求规定
3.1需求概述
1)SSO系统帐号激活
a.在SSO系统主页中激活单一登录帐号。
选择局内用户名(以列表形式，格式为邮箱帐号)，选择对应成员站点，输入成员站点原验证信息，并输入SSO系统登录密码，最后激活帐号。重复上述操作完成其它成员站点的SSO帐号激活。
b.在成员站点激活SSO帐号。
在成员站点上增加SSO帐号激活链接，并传入成员站点ID，在激活帐号页面上输入相关信息实现成员站点帐号激活。

2) 注册：
a.成员站点重定向到Passport服务器的注册页面，并且带有返回URL和成员站点ID。
b.通过Passport注册页面创建会员后，保存会员验证票到数据库和passport服务器所在域cookie中同时，在成员站点的数据库上创建与Passport服务器数据库中会员的映射关系。
c. 重定向到成员站点，填写会员个性信息。
d. 保存会员个性信息，并把重定向传入的验证票保存到本地cookie和创建Session状态变量。

3)登录：
a.SSO系统要实现各个成员站点的无缝结合，只要会员经过了认证服务器的登录验证（Passport服务器），该会员访问其它任何的网站时，都不需要再次登录。
b.会员在第一次登录时，Passport服务器验证身份之后，将列出所有该会员可以访问的成员站点链接。
c.会员单击其中成员站点链接，同时用Session或Cookie保存用户在成员站点中相关信息。
d.若会员要切换成员站点时，只需点击对应的成员站点链接，而无需关闭已经在访问的成员站点。
e.若果Passport服务器Down掉后，仍可以直接登录成员站点。

4)登出
a.为了提高成员站点间的独立性，会员在对应的成员站点登出将不影响其它正在访问的成员站点的使用。
b.会员在SSO系统中登出，同样不影响其它正在访问的成员站点的使用。

5)修改密码
a.在SSO系统中修改密码，将被更新至会员可以访问的相关成员站点中。
b. 成员站点密码修改，跳转至SSO系统密码修改，并传入对应的成员站点ID。SSO系统密码修改成功，将直接更新对应的成员站点密码。

6)找回密码
a.SSO系统及各成员站点找回密码，致电信息中心相关技术人员。
b.通过密码问题找回密码。

（备注：粗体字部分为第二阶段开发工作）

4．对功能的规定
4.1SSO部署

4.2层次结构图