统一平台方案书

盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.盐城移动统一登陆平台方案建议书2011.10盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.1系统目标对公司现有各系统进行有机的集成，并根据相应的权限设置向用户展示，并提供各系统入口通过对所有子系统的用户资源的整合，使管理员只需在YCPORTAL进行用户管理以及权限分配即可完成对所有接入系统的访问进行控制采用基于角色的权限管理，允许单个用户具有多种权限配置在整个网内实现一点登陆，即通过向所有子系统提供认证接口，实现员工只需在网内任何站点登陆后，在一定时间内登陆其他系统时无须再次登陆盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.2设计原则1）安全性系统应具备统一、完善的多级安全机制，以确保公司内部资料的安全性。系统应能抵御网内各种可能的攻击和破坏。2）开放性系统网络平台、设备平台、系统软件、应用软件的建设应遵循业界统一标准，系统采用分布式开放结构，充分考虑与各接入系统的接口。3）可用性和可靠性系统应提供高可用性以及数据多重保护，应避免由于一点故障影响整个系统正常稳定运行，避免关键信息的丢失。4）易用性系统应提供友好的中文图形操作界面和在线帮助,系统应向用户提供方便、快捷的业务使用体验，同时便于系统管理员的维护、管理。5）可扩充性系统的软件设计采用模块化体系结构，新功能的引入不影响原有的功能模块，具有良好的可扩展性。同时，系统的容量可随硬件的扩容和软件的升级达到更高的要求。盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.3系统结构Oracle业务及应用展现系统与基础服务用户管理权限管理集成管理接口系统子系统一子系统2系统管理员平台用户图3－1系统结构示意图YCPORTAL的系统结构可以分为四个大的层次结构：业务及应用展现层、接口层、业务核心层（统一管理平台）以及系统与基础服务层。1．业务及应用展现层起与用户交互的作用，包括应用系统展现、个人信息以及个性化设置功能等等。2．接口层是接入系统与平台交互的界面，包括认证接口、用户信息查询接口、用户权限查询接口、事务提醒接口以及登陆和退出接口等。3．业务核心层（统一管理平台）指平台支撑业务的综合管理平台，包括多个功能模块：用户管理是对所有接入系统的用户进行管理的模块，包括对用户的增加、删除和用户信息维护等。权限管理提供用户权限分配管理，它是以角色为基础的权限管理机制，其中权限又可分为系统访问权限和系统内的操作权限。集成管理也可以称为接入系统管理，它提供维护接入系统的名称、地址等基本信息，同时还提供维护接入系统的功能模块以及相应的许可权限等等。4．系统与基础服务层是整个YCPORTAL系统的基础模块，它包括了日志服务、异常处理、数据服务等等。盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.4技术方案作为公司各系统的整合管理平台，YCPORTAL将主要围绕三个对象展开工作：用户、接入系统和权限。而按照要实现的主要功能说，可以认为整体由几个子方案组成：一点认证方案、系统集成方案、权限集中管理方案以及子系统接入方案。以下将分节依次说明各子方案的技术实现过程。4.1一点认证方案4.1.1方案说明4.1.1.1一点认证概念目前，在盐城移动内部，多数系统建设用户管理和认证系统，公司用户在使用不同的系统时，需要多次输入帐号和密码进行身份验证，给用户不必要的繁琐操作和额外的记忆负担。为此，YCPORTAL提供一点认证的功能，用户只要通过YCPORTAL平台的认证，即可自由地访问所有的接入的子系统，而不需要再次进行其它身份验证过程；通过与YCPORTAL平台的通讯，子系统也可以确保该用户是合法用户，从而为之提供服务。4.1.1.2登录方式用户可以通过以下三种方式登录到YCPORTAL：1)用户直接访问YCPORTAL进行登陆操作；2)用户在接入YCPORTAL的子系统请求登陆；3)用户尚未登录，直接访问YCPORTAL的子系统的服务。4.1.1.3实现技术在用户IE内存中建立两个统一的身份令牌：UserToken和SysToken，记录用户的登陆状况。所有接入的子系统和YCPORTAL基于相同的解密算法分析SysToken，获取用户的登陆情况子系统通过重定向技术，请求YCPORTAL为其颁发子系统令牌SysToken来完成用户的登陆盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.YCPORTAL通过分析用户IE中的用户令牌来确定用户是否已经登陆4.1.1.4一点认证的有效期SysToken是一个临时的身份凭证，具有有效期属性，超过指定的时间后，SysToken不再有效。此时子系统需要在用户下一次访问其系统时再次向YCPORTAL发出认证请求并根据认证结果生成新的SysToken。同样，UserToken也是一个临时的身份凭证，具有有效期属性，当超过指定的时间后，UserToken不再有效。YCPORTAL需要再次验证用户的身份，以生成并颁发新的UserToken。为使用户获得较好的使用体验，YCPORTAL生成一个新的SysToken时，可以同时延长UserToken的有效期。4.1.2流程描述在用户拥有有效的SysToken的情况下，子系统自行处理，不需要与YCPORTAL交互。以下只讨论用户尚未拥有有效的SysToken，子系统需要向YCPORTAL请求SysToken的情况。4.1.2.1首次登陆本流程适用于以下场景：用户尚未获得有效的UserToken，此时访问接入YCPORTAL的子系统站点。1)用户请求使用YCPORTAL某子系统服务；2)子系统通过重定向技术向YCPORTAL提交认证请求；3)YCPORTAL显示登录页面；4)用户提交身份验证信息；5)YCPORTAL将认证结果返回给子系统；6)子系统向用户返回相应页面。4.1.2.2后续登陆本流程适用于以下场景：用户已经获得有效的UserToken，此时访问接入YCPORTAL的子系统站点。盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.1)用户请求使用YCPORTAL下某子系统的服务；2)子系统通过重定向技术向YCPORTAL提交认证请求3)YCPORTAL将认证结果返回给子系统；4)子系统向用户返回相应页面。4.1.2.3用户退出用户请求退出YCPORTAL后，其本次登录所获得的临时身份凭证将全部失效，同时系统也将回收为用户提供服务的系统资源。4.2系统集成方案4.2.1集成内容系统入口集成用户相关信息集成4.2.2系统入口集成系统入口集成是指在YCPORTAL中存入各个系统的入口地址，然后YCPORTAL根据用户的访问权限决定是否现实给用户，这样免去了用户记忆各种系统地址的痛苦，同时对于新系统的发布也有了一个更好的发布平台。4.2.2.1集成后登陆流程1)用户登陆到YCPORTAL2)YCPORTAL根据用户的权限配置返回系统入口列表给用户3)用户选择一个子系统请求登陆4)YCPORTAL重定向到子系统，并直接登陆成功5)返回子系统的服务界面4.2.3用户信息集成4.2.3.1用户信息可扩展对于在YCPORTAL建立前已有的系统需要接入时，为保持接入系统的平滑盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.过渡，需要导入原系统的用户信息，导入过程应该做到同时配置对应用户的访问权限。在导入时，可能YCPORTAL得用户信息表不能满足导入系统的需求，需要考虑扩展YCPORTAL的用户信息表，因此，我们在设计时就为用户信息表建立了扩展信息表，可以随意为用户添加新的字段存储数据。4.2.3.2用户信息查询采用WebService的方式向接入的子系统提供查询用户信息的接口，以便子系统在使用已登陆用户的信息时可以向YCPORTAL获取。4.2.3.3用户信息修改原则上，接入的子系统需要动态处理的用户信息应该在自身系统内另行存储，但是不能完全保证没有必须修改用户信息表的情况，此时，接入的子系统可以通过调用YCPORTAL提供的一个WebService接口，用户信息修改接口修改用户信息。4.3权限集中管理方案4.3.1方案说明4.3.1.1系统访问权限指控制用户是否可以访问制定子系统的权限，这种权限具有相对较高的优先级，即优先考虑这种权限。4.3.1.2权限管理的实现技术4.3.1.2.1基于角色的权限管理YCPORTAL采用基于角色的权限管理方案：通过用户、角色、权限三个对象的相互配置实现一个用户对应多种权限配置方案，使用户的权限配置更加的灵活、轻松。盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.4.4子系统接入方案4.4.1接入接口YCPORTAL为子系统的接入提供了一系列接口，提供为子系统与平台间的交互提供必要通道：身份验证接口退出接口用户信息查询接口用户权限查询接口用户新增接口用户名存在性查询接口用户信息修改接口接口主要采用WebService技术实现WebService的优点：1.不会因处在不同防火墙后而因影响调用2.可以给非DotNet技术开发的应用系统调用，即做到技术无关3.安全性比较高4.4.2接入帮助包接入帮助包（简称PortalHelp）是为简化子系统的接入工作而设计的。它承担了在应用系统接入时一些琐碎又容易出错的工作，如：加解密令牌解析以及令牌生成WebService接口封装（向接入系统提供本地函数式的调用形式）等。PortalHelp包将有.Net版和Com两个版本，以供不同技术的接入系统调用。盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.4.4.2.1用户迁移对于YCPORTAL部署前已有的系统，由于在设计时不会考虑到YCPORTAL接口，因此，有必要系统中已有用户进行迁移，使其成为YCPORTAL的用户，这个迁移工作包括：账号迁移（如果同一人在YCPORTAL另有账号则不需要）个人信息迁移当前系统的权限设置迁移4.4.2.2系统整改老系统整改的工作主要是围绕用户及权限从系统的剥离展开的，主要涉及几个方面：用户的身份验证用户的权限控制用户信息的获取其它与用户信息相关的功能盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.5功能结构盐城移动统一平台前台(R2)系统管理（R1)R2.F1用户登录R2.F2系统导航R2.F3系统公告R1.F1用户管理R1.F3权限维护R1.F4站点维护R1.F5各系统密码维护R1.F6公告发布R1.F7系统类型维护R2.F4共享资源R1.F9系统点击量统计图5－1功能模块结构示意图5.1前台业务5.1.1登陆负责用户登陆以及身份验证功能，包括子系统提交的身份验证请求成功登陆处理结果：盐城移动统一登陆平台1.0方案建议书上海复竹子信息科技有限公司Copyright©SuzsoftCompanyLimited.平台登陆定向到平台首页子系统验证通过重定向到子系统并返回用户令牌信息5.1.2系统导航为用户提供允许被使用的系统的入口列表，用户通过这个列表的操作即可访问需要的系统。同时，这个列表的显示顺序将允许用户自定义。5.1.3共享资源