中国移动统一认证、单点登录系统两级接口联调方案

1、中国移动通信有限公司中国移动通信有限公司 统一认证、单点登录系统统一认证、单点登录系统 两级接口两级接口 联调测试计划联调测试计划 v1.0 中国移动通信集团公 司 二一年六月 文档变更记录 序号变更内容说明版本号版本日期执笔人 1 2 3 目目 录录 1、 范围范围.4 2、 总体说明总体说明.4 2.1、 系统架构说明.4 2.2、 指导原则.6 2.3、 系统要求.6 2.4、 测试目标.6 3、 测试时间测试时间.7 4、 测试人员测试人员.7 5、 接口说明接口说明.7 6、 接口用例接口用例.8 6.1、 省认证中心的认证服务和一级认证服务之间接口.8 6.1.1、 用户认证接口

2、.8 6.1.2、 创建用户通行证 .10 6.1.3、 重置用户互联网密码 .11 6.2、 省认证中心登录服务和一级认证枢纽登录服务.13 6.2.1、 用户凭证查询 .13 6.2.2、 单点登录会话报活接口 .16 6.2.3、 用户登出通知 .18 7、 测试报告要求测试报告要求.20 1、范围范围 本文档规范了中国移动统一认证、单点登录系统的一级认证枢纽和省认证中心两级之 间接口联调要求。供中国移动内部和厂商共同使用，用于指导中国移动各省（直辖市、自 治区）统一认证、单点登录系统的两级接口的联调。 2、总体说明总体说明 2.1、系统架构说明系统架构说明 中国移动统一认证、单点登录系

3、统改造采用“两级架构”，一级和省级。 体系结构图如下图： 登录服务认证服务 a省crm系统 一级业务平台一级门户网站 a省 业务平台 a省 门户网站 登录服务认证服务 b省crm系统 认证服务登录服务 a省认证中心b省认证中心 一级认证枢纽 b省 业务平台 b省 门户网站 单点登录数据流统一认证数据流 一级系统 a省系统b省系统 1、一级认证枢纽用来收敛一级门户网站和一级业务平台的请求 2、省级认证中心用来收敛省级门户网站和省级业务平台的请求 用户认证都在其归属省的 crm 系统中认证，认证成功后的用户信息保存在一级认证枢纽 或者省级认证中心中的其中之一。 用户在一级认证枢纽登录：用户在一级认

4、证枢纽登录： 以用户访问一级门户网站为例说明，用户访问一级门户网站，在一级网站输入用户的 认证信息，提交认证信息。一级登录服务接收到请求之后，判断用户是否登录，如果用户 没有登录，一级登录服务请求一级认证服务认证。一级认证服务接收到一级登录服务的请 求，请求省级认证服务认证。省级认证服务接收到一级认证服务的认证请求之后，请求省 crm 系统做用户信息认证。省 crm 处理用户认证之后将认证数据返回。如上图红线所示。 用户认证成功后的数据保存在一级认证枢纽的登录服务中。用户要访问其他网站（可 能是一级网站，也可能是省级网站），该网站要求用户登录，用户登录该网站过程，实际 是用户单点登录的过程，用

5、户凭证信息都从一级认证枢纽的登录服务中获得。如上图蓝线 所示。 用户在省认证中心登录：用户在省认证中心登录： 以用户访问省级门户网站为例说明，用户访问省级门户网站，在省级网站输入用户的 认证信息，提交认证信息。省登录服务接收到请求之后，判断用户是否登录，如果用户没 有登录，省登录服务请求省认证服务认证。省认证服务接收到省登录服务的请求之后，请 求省 crm 系统做用户信息认证。省 crm 处理用户认证之后将认证数据返回。如上图红线所 示。 用户认证成功后的数据保存在省认证中心的登录服务中。用户要访问其他网站（可能 是一级网站，也可能是省级网站），该网站要求用户登录，用户登录该网站过程，实际是

6、用户单点登录的过程，用户凭证信息都从省认证中心的登录服务中获得。如上图蓝线所示。 用户在认证和登录的过程，涉及到比较复杂的系统间的用户信息交互过程。 2.2、指导原则指导原则 执行过程正确、可靠； 每一步骤尽可能详细、清楚，责任明确； 每一步骤都有监督，执行完毕必须检查结果； 测试过程应尽可能全面。 2.3、系统要求系统要求 一级认证枢纽和省认证中心应用成功部署； 一级认证枢纽和省认证中心网络环境要求连通。 在测试开始以前，一级认证枢纽和省认证中心需要知道对端服务地址在测试开始以前，一级认证枢纽和省认证中心需要知道对端服务地址 省名称省名称登录服务接口登录服务接口 ipip 地址地址登录服务接

7、口端口登录服务接口端口认证服务接口认证服务接口 ipip 地址地址认证服务接口端口认证服务接口端口 2.4、测试目标测试目标 中国移动统一认证、单点登录系统的两级接口联调是一级认证枢纽和 32 个省认证中心 之间业务对接的功能性测试。确保两级接口功能正确。确认一级认证枢纽和 32 个省认证中 心业务处理的正确性，为统一认证、单点登录系统上线做准备。 3、测试时间测试时间 批次批次省省 bossboss 进度安排进度安排 1 10 省（） 2010-6-15 4、测试人员测试人员 在联调开始以前，一级认证枢纽和省认证中心需要上报联系人。各方配合完成联调工作。 省名称省名称姓名姓名手机手机 ema

8、il 角色角色 5、接口说明接口说明 登录服务认证服务 if2 省级业务平台 省级门户网站 一级门户网站 登录服务认证服务if3 省级认证中心 if1 if1 if1 if3 if2 一级认证枢纽 省crm系统 if4 一级门户网站 if1 单点登录数据流统一认证数据流 根据省认证中心和周边系统的数据交互关系，可分为四类接口。如上图 if1、if2、if3、if4 四类。 1、if1 接口指的是门户网站、业务平台和省认证中心登录服务模块之间的接口。 2、if2 接口指的是一级认证枢纽和省级认证中心之间的接口。 3、if3 接口指的是一级认证枢纽和省级认证中心的登录服务模块和认证服务模块之间 的

9、接口。 4、if4 接口指的是省级认证中心的认证服务模块和省 crm 系统的客户管理域之间的接 口。 本次联调的重点是本次联调的重点是 if2if2 接口，包含用户凭证信息获取、单点登录会话报活通知、单点登接口，包含用户凭证信息获取、单点登录会话报活通知、单点登 出通知、用户信息认证、用户通行证创建接口、用户互联网密码重置接口出通知、用户信息认证、用户通行证创建接口、用户互联网密码重置接口 6、接口用例接口用例 6.1、省认证中心的认证服务和一级认证服务之间接口省认证中心的认证服务和一级认证服务之间接口 6.1.1、用户认证接口用户认证接口 接口名称接口名称认证接口测试类型测试类型 接口提供方

10、接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述 用户在一级枢纽输入用户认证信息，省认证中心认证用户信息，并返回用户认证信息。 测试编号测试编号 001 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数 1)diameter session-id 2)用户手机号 3)密码类型 4)密码 2、 两级确认socket通信的对端的地址和端口 3、 一级发送用户认证信息 4、 省认证中心接收一级枢纽认证请求

11、，并做认证 5、 省认证中心返回认证结果 6、 一级接收认证结果。 1)diameter session-id 2)返回结果编码 3)用户手机号 4)用户真实姓名 5)用户归属省编码 6)用户品牌 7)用户状态 8)data 9)认证不成功次数 10) 认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁 11) 用户昵称 12) 飞信开通状态 13) 手机邮箱开通状态 预期结果预期结果 1、 两级socket可以正常连接 2、 一级发送数据正确 3、 省级正确认证用户信息 4、 一级接收数据正确 正常情况正常情况 1）socket连接正常 2）用户手机号、密码类型、密码正确且匹配 异

12、常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在） 3） 密码类型有误（空或者密码和密码类型不匹配） 4） 密码错误（空或者密码和手机号码不匹配） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.1.2、创建用户通行证创建用户通行证 接口名称接口名称通行证创建接口测试类型测试类型 接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述

13、 用户在一级枢纽输入创建用户通行证必要的信息，省认证中心接收用户通信证返回用 户认证成功信息。 测试编号测试编号 002 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数 1)diameter session-id 2)用户手机号 3)用户昵称 4)互联网密码 5)操作（01） 2、 两级确认socket通信的对端的地址和端口 3、 一级发送用户通行证创建信息 4、 省认证中心接收一级枢纽通行证创建请求 5、 省认证中心返回创建结

14、果，同时将认证的结果返回。 6、 一级接收通行证创建和用户认证结果。 1)diameter session-id 2)返回结果编码 3)用户手机号 4)用户真实姓名 5)用户归属省编码 6)用户品牌 7)用户状态 8)data 9)认证不成功次数 10) 认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁 11) 用户昵称 12) 飞信开通状态 13) 手机邮箱开通状态 预期结果预期结果 1、 两级socket可以正常连接 2、 一级发送数据正确 3、 省级正确创建用户通行证信息 4、 一级接收数据正确 正常情况正常情况 1）socket连接正常 2）用户手机号、用户昵称、密码正确

15、异常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在） 3） 密码错误（密码为空） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.1.3、重置用户互联网密码重置用户互联网密码 接口名称接口名称重置用户互联网密码测试类型测试类型 接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述 用户注册成功之后，用户登录忘记互联网密码，此接口提供

16、用户在一级认证枢纽重置 用户互联网密码。 测试编号测试编号 003 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 3、 该手机号的互联网密码已经存在 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数 1)用户手机号 2)服务密码 3)互联网密码 2、 两级确认socket通信的对端的地址和端口 3、 一级发送用户互联网密码重置信息 4、 省认证中心接收一级枢纽互联网密码重置请求，并将重置信息转发给省crm 5、 省认证中心接收省crm返回结果，并将结果返回给一级认证枢纽 6、

17、 一级接收认证结果，并检查认证结果。 1)用户手机号 2)返回重置结果 3)结果说明 预期结果预期结果 1、 两级socket可以正常连接 2、 一级发送数据正确 3、 一级需要检查用户的短信验证码是否正确 4、 省级接收用户重置密码信息正确，并将信息转发给省crm重置密码。 5、 crm重置用户互联网密码后，返回给省认证中心。 6、 省认证中心获得用户互联网密码重置成功信息后，省认证中心检查该帐号是否 有认证失败记录，若果有认证失败记录，将认证失败的次数清零。处理成功后 返回一级认证枢纽。 7、 一级认证枢纽接收认证正确的返回结果。 正常情况正常情况 1）socket连接正常 2）用户手机号

18、、服务密码正确 异常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） 手机号码有误（手机号码为空、手机号码不是归属本省号码、手机号码不存在） 3） 服务密码（为空、与用户手机号码不匹配） 4） 互联网密码（为空、密码的长度过长或者过短） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2、省认证中心登录服务和一级认证枢纽登录服务省认证中心登录服务和一级认证枢纽登录服务 6.2.1、用户凭证查询用户凭证查询 6.2.1.1、一级认证枢纽调用省

19、认证中心查询用户凭证一级认证枢纽调用省认证中心查询用户凭证 接口名称接口名称用户凭证查询接口测试类型测试类型 接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述 用户登录或者用户sso过程，两级间互为对方提供用户凭证信息。 测试编号测试编号 004 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 3、 用户在省认证中心已经登录，用户的uid已经产生 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数值 1)一级认证枢纽构造必要的saml参数

20、 2)uid 用户id（省认证中心提供给一级枢纽） 2、 两级确认socket通信的对端的地址和端口 3、 一级认证枢纽发送用户凭证请求信息 4、 省认证中心接收一级认证枢纽凭证请求，处理请求 5、 省认证中心根据uid找到用户凭证，省认证中心构造必要的saml的返回信息， 对用户saml总断言信息做摘要，并作数字签名，将处理好的信息返回一级认 证枢纽。 6、 一级接收凭证，首先对数字签名信息进行验证，验证成功后， 7、 需要检查以下数据项是否正确。 1)用户手机号 2)用户真实姓名 3)用户归属省编码 4)用户品牌 5)用户状态 6)data 7)认证不成功次数 8)认证不成功次数阀值，如果

21、超过此次数用户再次不能认证，除非解锁 9)用户昵称 10) 飞信开通状态 11) 手机邮箱开通状态 预期结果预期结果 1、 两级socket连接正常 2、 一级发送凭证请求数据正确 3、 省认证中心需要对凭证信息中的断言信息的做数字摘要和数字签名 4、 一级认证枢纽验证数字签名正确 5、 一级认证枢纽接收数据正确 正常情况正常情况 1）socket连接正常 2）uid正确 异常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的 其他字符） 正常情况正常情况

22、实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2.1.2、省认证中心调用一级认证枢纽查询用户凭证省认证中心调用一级认证枢纽查询用户凭证 接口名称接口名称用户凭证查询接口测试类型测试类型 接口提供方接口提供方一级认证枢纽接口调用方接口调用方省认证中心 接口功能接口功能 描述描述 用户登录或者用户sso过程，两级间互为对方提供用户凭证信息。 测试编号测试编号 005 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机

23、号 3、 用户在一级认证枢纽已经登录，用户的uid已经产生 测试步骤测试步骤 1、 省认证中心保证调用接口所需要的参数值 1)省认证中心构造必要的saml参数 2)uid 用户id（一级认证枢纽提供给省认证中心） 2、 两级确认socket通信的对端的地址和端口 3、 省认证中心发送用户凭证请求信息 4、 一级认证枢纽接收省认证中心凭证请求，处理请求 5、 一级认证枢纽根据uid找到用户凭证，一级认证枢纽构造必要的saml的返回 信息，对用户saml总断言信息做摘要，并作数字签名，将处理好的信息返回 一省认证中心。 6、 省认证中心接收凭证，首先对数字签名信息进行验证，验证成功后， 7、 需要

24、检查以下数据项是否正确。 1)用户手机号 2)用户真实姓名 3)用户归属省编码 4)用户品牌 5)用户状态 6)data 7)认证不成功次数 8)认证不成功次数阀值，如果超过此次数用户再次不能认证，除非解锁 9)用户昵称 10) 飞信开通状态 11) 手机邮箱开通状态 预期结果预期结果 1、 两级socket连接正常 2、 省认证中心发送凭证请求数据正确 3、 一级认证枢纽需要对凭证信息中的断言信息的做数字摘要和数字签名 4、 省认证中心验证数字签名正确 5、 省认证中心接收数据正确 正常情况正常情况 1）socket连接正常 2）uid正确 异常情况异常情况 1） socket连接异常（对端

25、端口、地址错，修改正确后，长连连接是否可以自动连接） 2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的 其他字符） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2.2、单点登录会话报活接口单点登录会话报活接口 6.2.2.1、一级认证枢纽通知省认证中心报活单点登录会话一级认证枢纽通知省认证中心报活单点登录会话 接口名称接口名称单点登录会话报活接口测试类型测试类型 接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述

26、 防止用户长时间在某网站上停留而导致用户单点登录会话登出。 测试编号测试编号 006 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 用户在省认证中心已经登录，用户的uid已经产生 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数值 1)一级认证枢纽构造必要的saml参数 2)用户id（省认证中心提供给一级枢纽） 2、 两级确认socket通信的对端的地址和端口 3、 一级认证枢纽发送报活通知信息 4、 省认证中心接收一级枢纽报活通知，并将用户的单点登录会话延长一个单点登 录会话时长。 5、 省认证中心返回处理结果 6、 一级

27、认证枢纽接收处理结果。 预期结果预期结果 1、 两级socket连接正常 2、 一级发送数据正确 3、 省级正确报活信息信息 4、 一级认证枢纽接收返回数据正确 正常情况正常情况 1）socket连接正常 2）uid正确 异常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的 其他字符） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2.2.2、省认证中心通

28、知一级认证枢纽报活单点登录会话省认证中心通知一级认证枢纽报活单点登录会话 接口名称接口名称单点登录会话报活接口测试类型测试类型 接口提供方接口提供方一级认证枢纽接口调用方接口调用方省认证中心 接口功能接口功能 描述描述 防止用户长时间在某网站上停留而导致用户单点登录会话登出。 测试编号测试编号 007 测试优先级测试优先级高 创建人创建人创建时间创建时间 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 3、 用户在一级认证枢纽已经登录，用户的uid已经产生 测试步骤测试步骤 1、 省认证中心保证调用接口所需要的参数值 1)省认证中心构造必要的

29、saml参数 2)用户id（一级认证枢纽提供给省认证中心） 2、 两级确认socket通信的对端的地址和端口 3、 省认证中心发送报活通知信息 4、 一级认证枢纽接收省认证中心报活通知，并将用户的单点登录会话延长一个单 点登录会话时长。 5、 一级认证枢纽返回处理结果 正常情况正常情况 1）socket连接正常 2）uid正确 异常情况异常情况 3） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 4） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的 其他字符） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人

30、一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2.3、用户登出通知用户登出通知 6.2.3.1、一级认证枢纽通知省认证中心登出一级认证枢纽通知省认证中心登出 接口名称接口名称用户登出通知接口测试类型测试类型 接口提供方接口提供方省认证中心接口调用方接口调用方一级认证枢纽 接口功能接口功能 描述描述 用户登录成功之后，在发起登出请求，统一认证、单点登录系统需要将用户所有已经 登录的网站登出，然后统一认证、单点登录系统自身登出处理。 测试编号测试编号 008 测试优先级测试优先级高 创建人创建人创建时间创建时间 6、 省认证中心接收处理结果。 预期结果预期结果

31、 1、 两级socket连接正常 2、 省认证中心发送数据正确 3、 一级认证枢纽正确报活用户单点登录会话 4、 省认证中心接收返回数据正确 前置条件前置条件 1、 两级的服务部署成功 2、 测试手机号码，该手机号码为认证服务提供方省手机号 3、 用户在一级认证枢纽已经登录，用户的uid已经产生 测试步骤测试步骤 1、 一级认证枢纽保证调用接口所需要的参数值 1)一级认证枢纽构造必要的saml参数 2)用户id（省认证中心提供给一级认证枢纽） 2、 两级确认socket通信的对端的地址和端口 3、 一级认证枢纽发送用户登出通知信息 4、 省认证中心接收一级认证枢纽报活通知，省认证中心通知用户已

32、经登录的网站 登出，如果用户在省认证中心登录，省认证中心登出用户信息。 5、 省认证中心返回处理结果 6、 一级认证枢纽接收处理结果。 预期结果预期结果 1、 两级socket可以正常连接 2、 一级认证枢纽发送用户登出数据正确 3、 省认证中心正确处理用户登出。 4、 一级认证枢纽接收省认证中心正确返回结果 正常情况正常情况 1）socket连接正常 2）uid正确 异常情况异常情况 1） socket连接异常（对端端口、地址错，修改正确后，长连连接是否可以自动连接） 2） uid异常（uid为空、uid的格式超过或小于32位、uid中有处理数字和字母外的 其他字符） 正常情况正常情况 实际结果实际结果 异常情况异常情况 一级负责人一级负责人 测试人员测试人员 省级负责人省级负责人 测试时间测试时间 备注备注 6.2.3.2、省认证中心通知一级认证枢纽登出省认证中心通知一级认证枢纽登出 接口名称接口