APP电子商务平台一期需求说明书V3.docVIP

金光集团电子商务平台一期需求说明书上海同富信息科技有限公司 第 PAGE 64 页 共 NUMPAGES 64 页上海同富信息科技有限公司金光集团电子商务平台一期需求说明书2009年12月上海同富信息科技有限公司引言 编写目的准确全面描述APP电子商务平台一期需求。为业务人员和开发人员提供应用系统的统一理解。为设计和实现系统提供依据，为系统管理人员提供参考。为系统验收提供依据。功能需求说明系统安全性要求系统安全包括权限控制、身份验证识别、口令加密、超时保护几个方面构成。要求在架构上防护大部分攻击行为，并经严格的代码安全审核，保证产品的安全性。权限控制系统后台对不同的操作人员进行严格的权限控制，对于不同的模块可以自由设定不同的操作许可。权限系统采用RABC体系，即基于角色的访问控制方法。身份验证识别在系统中，无论是前面购物会员登录，还是后台管理员登录都要求使用图片验证码进行身份验证。为达到更高的安全性，要求实现session与IP绑定与客户帐户登录错误超限锁定的机制。口令加密在系统中，口令的保存与传输都采用单向不可逆的加密格式，防止恶意攻击者采用网络嗅探等方式来获取用户的口令。超时保护管理员操作后台采用session超时失效机制，登录后在一段时间内不进行操作，即需重新登录。代码安全控制在代码级别进行安全控制，要求控制以下的情况：跨站脚本攻击及跨站请求欺骗SQL注入、html注入、