统一用户中心详细设计方案及对策文档格式.docx

1、2.2 系统帐号传递机制在用户访问应用系统之前，由统一身份认证平台生成一次性的访问Ticket票据，并将Ticket提交给应用系统，应用系统请求统一身份认证平台验证Ticket有效性，之后返回认证结果和用户身份信息给应用系统。应用系统根据验证结果确认用户身份，并分配用户权限。Ticket默认有效时间5分钟，Ticket使用一次之后自动失效。2.3 登录界面用户中心服务系统提供全平台唯一的登录界面 已经登录的用户访问登录页面将自动跳转到平台首页，不允许一个浏览器在未退出时登录另一个账户。2.4 功能说明2.4.1 单点登录1.用户访问业务系统如果业务系统session或登录缓存中判断用户没有登录

2、，则控制客户端浏览器跳转到用户中心服务系统（UCS）的统一登录页面；如果业务系统已经登录，则判断是否到达需要发送保持用户登录状态心跳包的时间，向认证服务器用户状态保持接口发送消息；同时，业务服务器处理自有业务，响应用户。2.用户在用户中心服务系统登录完毕，系统记录登录信息并将浏览器跳转到业务系统服务器回跳页面，并带上url参数ticket票据3.业务服务器接收ticket参数向用户中心服务系统验证ticket合法性并获取用户信息和权限信息4.业务系统获取到用户信息，将登录信息记录session或登录缓存，标识已经登录，并根据返回的权限信息检验用户是否有操作权限；验证通过则执行相应业务操作2.4

3、.2 会话保持用户登录成功之后，被访问的业务系统需要在当前用户有访问请求时（在线状态）每间隔一段时间（默认3分钟）向用户中心服务系统提交用户在线状态信息。保证认证服务中心能够感知到用户当前的活动状态。认证服务中心在一定时间（默认30分钟）内没有检测到用户的活动信息则判定用户状态为下线。将注销用户登录状态并通知所有业务系统注销该用户的登录状态。2.4.3 单点退出与单点登录相对应，单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患，用户在平台中主动下线或超时下线时，统一身份认证平台会向业务系统发起用户下线通知，告知业务系统，某用户已经下线，请销毁相关Session会话。2.4.4

4、 组织架构同步用户在门户系统注册，注册数据通过接口保存到用户中心服务系统；全量同步用户中心服务系统开通组织架构全量同步接口，提供给实时性要求不太高的子系统使用；实时增量同步在用户注册、信息变更、服务申请状态变化、删除等操作之后用户中心服务系统主动通知各个子系统变更的用户数据，提供给实时性要求高的子系统使用；2.4.5 消息推送监听消息服务器中的消息数据，将各个子系统通过消息中心发出的通知消息推送给绑定的微信账号。2.5 数据结构2.5.1 表清单名称注释T_COMPANY公司表T_DEPT部门表T_EMPL员工信息T_USER用户信息T_DICTIONARY字典表T_ATTACHMENT附件表

5、UC_ACCOUNT登录账号表UC_APP业务系统UC_BUTTON资源表UC_DATA数据表UC_MENU菜单表UC_ROLE角色表UC_ROLE_COMPANY角色公司关联表UC_ROLE_BUTTON角色资源关联表UC_ROLE_DATA角色数据关联表UC_ROLE_EMPL角色员工关联表UC_ROLE_MENU角色菜单关联表2.5.2 T_COMPANY 公司表类型主键外键必填COMPANY_IDvarchar（50）TRUE公司idPARENT_ID父idCOMPANY_NAMEvarchar（200）公司名称COMPANY_CODE公司编码CREATE_TIMEdatetime创建

6、时间ZIP_CODE公司邮编ADDRESS公司地址EMAIL公司邮箱WEB_SITE公司网址FAX传真TEL企业电话BANKvarchar（100）开户银行BANK_ACCOUNT银行账户LEGAL_NAME公司法人姓名LEGAL_TEL公司法人联系方式2.5.3 T_DEPT 部门表DEPT_ID部门id上级部门idDEPT_NAME部门名称DEPT_CODE部门编号电话邮编varchar（500）地址2.5.4 T_EMPL 员工表EMPL_ID用户idUSER_IDEMPL_CODE员工编号EMPL_POSITION员工职位ENTRY_TIME入职时间2.5.5 T_USER 用户表AC

7、COUNT_ID账号idUSER_NAME姓名SEXnumeric（1,0）性别（ 1:男,0:女）邮箱MOBILE手机号IDCARD身份证2.5.6 T_DICTIONARY 字典表DICTIONARY_ID字典idDICT_CODE字典编码PARENT_CODE父编码DICT_NAMEDICT_DESC说明2.5.7 T_ATTACHMENT 附件表FILE_ID附件idGROUP_ID附件组idFILE_PATH附件路径FILE_NAME附件文件名FILE_SIZEnumeric（10,0）附件大小CREATE_USER创建者RECORD_TABLE主记录所属表2.5.8 UC_ACCO

8、UNT 登录帐号表ACCOUNT_NAME登录名ACCOUNT_PASSWORD密码IS_ENABLE是否可用（0:不可用,1:可用）OPEN_ID微信idIS_PLAT是否平台用户IS_SUPP是否是供应商用户IS_BUY是否是采购商用户ACCOUNT_TELACCOUNT_EMAIL2.5.9 UC_APP 业务系统表APP_ID业务系统idAPP_NAME业务系统名称SECRET_KEY接入密钥APP_LOGO首页展示logo图片INDEX_URL首页地址USER_NOTIFY_URL用户信息变更通知地址DEPT_NOTIFY_URL组织信息变更通知地址LOGOUT_NOTIFY_URL

9、单点退出通知地址2.5.10 UC_BUTTON 业务系统资源表BUTTON_ID资源id子系统idBUTTON_CODE资源编码BUTTON_NAME资源名称BUTTON_CLASS资源分类ORDER_NUM序号2.5.11 UC_DATA 业务系统数据表DATA_IDDATA_CODE数据编码DATA_NAME数据名称DATA_CLASS数据分类DATA_EXPRESSIONvarchar（2000）数据sql2.5.12 UC_MENU 业务系统菜单表MENU_IDMENU_NAME菜单名称MENU_ICON图标MENU_URLnumeric（2,0）排序2.5.13 UC_ROLE 业

10、务系统角色表ROLE_ID角色id创建公司idROLE_NAME角色名称2.5.14 UC_ROLE_COMPANY 角色公司关联表2.5.15 UC_ROLE_BUTTON 角色资源关联表2.5.16 UC_ROLE_DATA 角色数据关联表数据id2.5.17 UC_ROLE_MENU 角色菜单关联表菜单id2.5.18 UC_ROLE_EMPL 角色员工关联表员工idIS_GRANTnumeric（1）是否允许授予2.6 用户中心提供的接口2.6.1 通用接口调用方式通信协议HTTP POST请求格式application/x-www-form-urlencoded响应格式applica

11、tion/json公用请求参数1secretString加密验证参数使用平台给业务系统分配的接口密钥secretKey与当前时间（yyyyMMddHHmmss格式）拼接之后使用AES加密，使用十六进制编码得到的字符串响应结构retCode返回消息码2message返回消息描述3resultJSONJSON数据对象：下列所有接口返回数据都在此字段下（无数据返回时，无此字段）公用响应编码编码000000成功700000接口令牌无效800000accessToken无效，没有相关用户信息900000异常2.6.2 sso.login 登录功能说明接入方控制客户端浏览器跳转登录页面进行登录操作发起方客

12、户端浏览器请求方式浏览器跳转请求地址/sso/login.do请求参数参数名backurl登录完成之后的回跳地，URLEncoder（utf-8）编码响应ticket获取用户信息的凭证,一分钟过期,一次有效请求示例https:/xxxxxx/sso/login.do?backurl=http%3A%2F%2Fxxx%2Fmobile响应示例http:/xxx/mobile?ticket=0fff8d0f896e4b7094a7f98cfc35e4e92.6.3 sso.validate ticket校验业务系统向用户中心服务系统校验登录ticket是否可用，并获取用户信息业务服务器接口地址/s

13、so/validate.doY用户登录之后浏览器回跳地址中的ticket参数appIdN业务系统Id 4onlySelfRoleBoolean是否仅自有系统的权限列表accesstoken用户接口令牌，服务端调用接口时使用userObject2.1userId2.2userName用户姓名2.3userTypeInteger用户类型，员工、供应商2.4companyId2.5deptId2.6servicesObject申请的服务数组2.6.1serviceCode服务编号2.6.2serviceName服务名2.6.3serviceStatus服务状态（1:待审核，2:审核拒绝，3：审核通过

14、）2.7apps业务系统列表2.7.12.7.2roles角色数组,包含菜单权限，数据权限，资源权限2.7.2.1roleName角色名2.7.2.2roleCode角色编码2.7.2.3menusString菜单权限编号列表2.7.2.4datas数据权限列表2.7.2.4.1dataCode2.7.2.4.2dataExpressio数据SQL片段或表达式语句2.7.2.5buttons资源权限编号列表响应码表ticket校验失败服务端异常2.6.4 sso.keepAlive保持用户登录状态保持用户登录状态PORTAL、各个接入单点登录的子系统/sso/keepAlive.doaccessToken用户接口令牌2.6.5 sso.logout单点退出退出登录/sso/logout.do