# 认证与身份能力

G2rain 的认证与身份能力,不只解决“用户能不能登录”的问题,而是解决企业平台中“用户、应用、前端、接口如何形成统一安全链路”的问题。

# 为什么身份能力是平台级能力

在企业 SaaS 平台中,身份能力会直接影响:

  • 用户登录体验
  • 多应用统一访问
  • 角色与资源权限控制
  • 接口安全访问
  • 平台交付与租户隔离

如果身份能力只停留在单系统登录层面,就很难支撑多应用、多租户与平台化演进。

# G2rain 的身份能力结构

# 用户统一认证

平台通过 g2rain-iam 组织统一认证、令牌建立与登录态管理,是用户访问平台能力的基础。

# 应用独立身份

G2rain 强调“真正的应用化”,因此每个应用具备独立身份。

平台中维护应用信息与公钥,应用自身保存私钥,并在需要时参与签名协同。这使平台的身份模型不只面向用户,也面向应用。

# 前端与 API 安全链路

平台支持通过 OpenResty + Lua 与网关、IAM 协同,形成前端到 API 的完整身份管理与安全访问链路。

# 平台权限体系联动

身份能力不是孤立存在的,它与:

  • 角色
  • 资源
  • 功能权限
  • 业务能力

共同形成平台完整的访问控制体系。

# 关键机制

# 统一登录与回调链路

用户访问平台时,平台会围绕:

  • 登录跳转
  • 授权回调
  • Token 建立
  • 登录态恢复

组织统一主链路,为主壳与子应用共享身份上下文提供基础。

# 应用独立身份协同

平台中的每个应用都不是纯前端页面集合,而是具有独立身份的接入单元。

这意味着:

  • 平台维护应用注册信息
  • 应用保存自身私钥
  • 应用与平台共同参与令牌与签名协同

# 客户端参与的安全建立机制

平台强调更强的企业级安全访问方式,在客户端首次接入阶段引入更安全的身份初始化参与机制,使整个平台的令牌建立过程更适合高安全场景。

# 适用场景

  • 平台统一登录与认证
  • 多应用统一身份接入
  • 企业级安全访问链路建设
  • 前端与 API 协同鉴权
  • 与权限体系联动的访问控制

# 相关模块

# 推荐阅读