SSO单点登录概要设计说明书

SSO单点登录概要设计说明书

V1.0

通用权限管理概要设计说明书V1.0

文件更改摘要：

日期 版本号 创建 修订说明 修订人 审核人 批准人 孙俊虎 2011-5-19 1.0 ? 版权所有? 第 1 页 共 9 页

通用权限管理概要设计说明书V1.0

目录

1. 引言 ......................................................................................................................................... 3 1.1 编写目的 ............................................................................................................................. 3 1.1.1 描述 .................................................................................................................................. 3 1.1.2存在的问题 ..................................................................................................................... 3 1.1.3 解决技术 ......................................................................................................................... 3 1.2 背景 ...................................................................................................................................... 3 1.3 术语 ...................................................................................................................................... 3 1.4 预期读者与阅读建议 ...................................................................................................... 3 1.5 CAS运行原理 ................................................................................................................... 3 2. 总体设计 ................................................................................................................................ 4 2.1 设计目标 ............................................................................................................................. 4 2.2 运行环境 ............................................................................................................................. 5 2.3 网络结构 ............................................................................................................................. 5 2.4 总体设计思路和处理流程 ............................................................................................. 5 2.5 对象关系图 ........................................................................................................................ 5 2.6 系统约定 ............................................................................................................................. 5 2.7 模块结构设计 .................................................................................................................... 5 2.8 尚未解决的问题 ............................................................................................................... 7 3. 接口设计（暂略） .............................................................................................................. 7 3.1 用户接口（暂略） .......................................................................................................... 7 3.2 外部接口（暂略） .......................................................................................................... 7 3.3 内部接口（暂略） .......................................................................................................... 7 4. 界面总体设计 ....................................................................................................................... 7

? 版权所有? 第 2 页 共 9 页

通用权限管理概要设计说明书V1.0

1. 引言 1.1 编写目的 1.1.1 描述

随着信息化进一步发展和企业的业务运营需要，企业内部的应用系统越来越多。这些系统往往有着独立的用户认证模块和机制，用户不得不记住每一个系统的登录帐号和密码，在使用不同的系统时，必须重复登录，给用户的使用造成诸多不便。针对这种情况，单点登录 (Single Sign On)[1]模型应运而生，同时不断地应用到企业的业务系统中。在单点登录系统中，用户只需在登录时提供一次用户认证信息，通过认证以后，在访问企业门户中的各个子系统时无需再重复登录。

1.1.2 存在的问题

在单点登录系统的实现过程中，往往会碰到如下问题：1) 企业现有的各个应用系统间相互独立或者通信状况是混乱的，对外接口也不同，这给应用系统的集成带来了极大困难。2) 同一个用户，拥有多个应用系统的访问凭证，使用户信息难以统一管理。3) Cookie不 能跨域的限制也使实现各个应用系统之间Cookie共享成为一个难题。

1.1.3 解决技术

本文介绍的基于CAS协议，采用用户映射机制设计的单点登录方案，能很好的解决这些问题。

1.2 背景

a、 软件系统的名称：SSO单点登录系统；

b、 对企业已有的或要建设的系统进行单点登录整合。

1.3 术语

本系统：SSO单点登录系统；

1.4 预期读者与阅读建议

预期读者 系统设计者 阅读重点 CAS原理，自定义实现身份认证，方案设计 1.5 CAS运行原理

我们以A公司的员工日志管理系统为例： a. 传统的用户认证流程

? 版权所有? 第 3 页 共 9 页

通用权限管理概要设计说明书V1.0

b. 使用CAS后的用户认证流程

示意图中，CAS相关部分被标示为蓝色。在这个流程中，员工AT向日志系统请求进入主页面，他的浏览器发出的HTTP请求被嵌入在日志系统中的CAS客户端（HTTP过滤器）拦截，并判断该请求是否带有CAS的证书；如果没有，员工AT将被定位到CAS的统一用户登录界面进行登录认证，成功后，CAS将自动引导AT返回日志系统的主页面。

2. 总体设计 2.1 设计目标

a. 实现一个易用的、能跨不同Web应用的单点登录认证中心；

b. 实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞； c. 降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。

? 版权所有? 第 4 页 共 9 页

通用权限管理概要设计说明书V1.0

2.2 运行环境

2.3 网络结构

2.4 总体设计思路和处理流程

通常，企业应用程序基于浏览器的B/S模式，这种情况下，系统的用户凭证（一个由CAS服务器生成的唯一 id号，也称之为ticket）借助cookie和URL参数方式实现；在B/S环境中，大多情况下，我们只需要配置CAS Filter或者使用CAS Tag Library就可以轻松实现的验证客户端。

如果应用是以普通的C/S模式运行，则需要应用程序自己来维护这个ticket在上下文环境中的传输和保存了。这时候就需要手工调用ServiceTicketValidator / ProxyTicketValidator对象的方法，向CAS 服务器提交认证，并获取认证结果进行相应的处理。

2.5 对象关系图

2.6 系统约定 2.7 模块结构设计

应用系统1CAS认证中心用户接入身份认证中心同步数据数据库统一认证系统数据库应用系统1 ? 版权所有? 第 5 页 共 9 页

通用权限管理概要设计说明书V1.0

应用系统1CAS认证中心用户接入查询数据身份认证中心数据库统一认证系统数据库应用系统1

? 版权所有? 第 6 页 共 9 页

通用权限管理概要设计说明书V1.0

2.8 尚未解决的问题 3. 接口设计（暂略） 3.1 用户接口（暂略） 3.2 外部接口（暂略） 3.3 内部接口（暂略） 4. 界面总体设计

? 版权所有? 第 7 页 共 9 页

通用权限管理概要设计说明书V1.0

? 版权所有? 第 8 页 共 9 页

本文来源：https://www.bwwdw.com/article/la2g.html