社团与活动系统安全设计与实现.docVIP

社团与活动系统安全设计与实现 　　摘 要：为了方便管理社团、有效组织活动、提高宣传效率、促进学生互动，并适应移动互联网APP化的趋势，提出开发基于APP的社团与活动系统。通过Spring+SpringMVC+MyBatis框架构建服务器，MVVM框架构建Android和iOS双平台的APP，并使用SSL/TLS的https通讯大幅度提高数据传输安全性，采用Token认证技术实现自动登录。社团与活动系统实现了用户便捷地参加和管理社团、创建和参与活动的主要功能，方便了用户之间的沟通和用户个人收藏，促进高校数字化建设。 　　关键词：学生社团；活动；APP；自动登录 　　中图分类号：TP319 文献标识码：A 　　1 引言 　　学校是众多学生学习和生活的地方，学生的生活便利不容忽视。学校社团招新时，他们奔走于各处宣传社团，学生稀里糊涂填报社团，组织活动大多也是这种情况，这对于组织方和参加者都是麻烦的事情。为了将他们带出窘境，研发了基于APP的社团与活动系统，充分体现移动互联带来的便利。 　　2 总体框架 　　确定社团与活动系统的定位，适应用户的根本需求，设计并实现本系统应该具备的功能。本系统由客户移动终端APP与服务器数据处理端组成，具体框架可分为三部分，如图1所示。 　　客户端：移动终端APP，是各个功能操作的载体，是与用户交互的基本应用程序，为用户提供可视化可交互式服务。 　　接口：是客户端与服务器沟通的媒介，在网络连接状态下，携带Token身份验证实现服务器对客户端的有效性判断，实现客户端和服务器之间的信息传输。 　　服务器：提供可靠的数据检索、数据加工、数据更新服务，对客户端进行身份验证，使客户端得到实时有效的数据。 　　3 系统功能模块设计 　　3.1 系统功能 　　社团操作模块和活动操作模块是本系统的核心功能模块。用户注册登录后，可以发布活动、参加活动、管理活动等操作，可以参加社团，在有权限的前提下管理社团等操作。此外，本系统还有学生身份认证、扫描二维码快速识别社团和活动、个人信息编辑与消息管理等功能，如图2所示。 　　3.2 数据库设计 　　本系统主要完成用户在社团和活动模块中的交流与协同运作功能。对数据库的访问包括对活动、社团、用户的增删查改等基本操作。数据库由用户表、社团表、权限表、社团招新表、活动表、参加活动表等基本表组成。 　　3.3 原型设计 　　制作原型图能够以较短时间呈现APP的页面样式。目的是让用户更快地看到操作结果，最快地解决即将面临的问题，避免在编码后的产品不满足要求而重新进行设计，导致效率太低。本系统的原型设计包括注册登录页面、主页（活动列表）、社团页面等重要页面的设计，包括参加活动、参加社团等重要交互页面。设计的原型页面应该符合美学完整性，应该表意清楚，符合用户的审美。页面交互应该是用户可控的，是有效的。 　　4 关键技术 　　4.1 服务器构建技术 　　（1） 系统框架：本系统采用Spring+SpringMVC+MyBatis框架。 　　（2） Https通讯：服务器和APP之间的通讯全面升级至使用SSL/TLS的https通讯，防止数据在传输过程中被窃取、改变，确保数据的完整性，从而实现用户与服务器之间数据传输的安全性。 　　（3） 反向代理：采用Nginx的反向代理和负载均衡搭建服务器集群，提高网络的灵活性和可用性。反向代理是通过代理服务器接收用户的请求，并转发询问其他服务器，然后将询问结果反馈给用户，整个过程中用户对结果的来源不知情。当用户发出相同请求时，代理服务器把缓存信息回馈给用户，不用再次询问服务器，以此达到负载均衡的效果，其原理图如图3所示。 　　（4） 数据库读写分离：将服务器上主数据库同步为一个或多个从数据库，使得用户对大部分数据读操作访问都可以不通过主数据库而直接访问从数据库就能完成。用户发出查询数据的请求时，在从数据库上执行，而发出写数据的请求时，则写入主数据库，再通过的日志异步的方法将主数据库数据同步到从数据库。采用这种数据库读写分离模式，实现数据库的横向扩展，有效预防死锁，且改善数据库负载压力。数据库读写分离原理图如图4所示。 　　（5） 核心拦截器：在用户进行Action操作时进行服务器验证，以确保提交的是真实有效的数据。重要技术是Access Token 认证登陆。在用户首次成功登录APP后，服务器返回一个访问令牌Access Token给客户端，Access Token本质就是Java服务器生的UUID（通用唯一识别码），如“ac6a8b14-99fd-4c7c-b1cd-51”，客户端把Token保存在地，以后每次请求服务器都带上Token，服务器检查Token的有效性，有效?t返回数据；如