# 认证与身份能力
G2rain 的认证与身份能力,不只解决“用户能不能登录”的问题,而是解决企业平台中“用户、应用、前端、接口如何形成统一安全链路”的问题。
# 为什么身份能力是平台级能力
在企业 SaaS 平台中,身份能力会直接影响:
- 用户登录体验
- 多应用统一访问
- 角色与资源权限控制
- 接口安全访问
- 平台交付与租户隔离
如果身份能力只停留在单系统登录层面,就很难支撑多应用、多租户与平台化演进。
# G2rain 的身份能力结构
# 用户统一认证
平台通过 g2rain-iam 组织统一认证、令牌建立与登录态管理,是用户访问平台能力的基础。
# 应用独立身份
G2rain 强调“真正的应用化”,因此每个应用具备独立身份。
平台中维护应用信息与公钥,应用自身保存私钥,并在需要时参与签名协同。这使平台的身份模型不只面向用户,也面向应用。
# 前端与 API 安全链路
平台支持通过 OpenResty + Lua 与网关、IAM 协同,形成前端到 API 的完整身份管理与安全访问链路。
# 平台权限体系联动
身份能力不是孤立存在的,它与:
- 角色
- 资源
- 功能权限
- 业务能力
共同形成平台完整的访问控制体系。
# 关键机制
# 统一登录与回调链路
用户访问平台时,平台会围绕:
- 登录跳转
- 授权回调
- Token 建立
- 登录态恢复
组织统一主链路,为主壳与子应用共享身份上下文提供基础。
# 应用独立身份协同
平台中的每个应用都不是纯前端页面集合,而是具有独立身份的接入单元。
这意味着:
- 平台维护应用注册信息
- 应用保存自身私钥
- 应用与平台共同参与令牌与签名协同
# 客户端参与的安全建立机制
平台强调更强的企业级安全访问方式,在客户端首次接入阶段引入更安全的身份初始化参与机制,使整个平台的令牌建立过程更适合高安全场景。
# 适用场景
- 平台统一登录与认证
- 多应用统一身份接入
- 企业级安全访问链路建设
- 前端与 API 协同鉴权
- 与权限体系联动的访问控制