# g2rain-iam

g2rain-iam 是 G2rain 平台统一身份认证与企业级安全链路核心模块,负责用户身份建立、令牌体系、应用身份协同与平台安全访问控制。

# 模块定位

在 G2rain 整体体系中,g2rain-iam 位于平台核心层,与网关、前端应用和平台基础控制能力共同构成企业级身份与安全链路。

它关注的重点不是单次登录动作本身,而是平台如何在多应用、多角色、多租户场景中建立统一、可靠、可扩展的身份体系。

# 核心能力

# 统一身份认证

g2rain-iam 负责平台统一认证入口与用户身份建立,是平台用户访问各类前端与后端能力的统一身份基础。

# 令牌与安全链路

平台通过 g2rain-iam 组织令牌建立、校验与协同流程,用于支撑平台内部服务、前端应用与接口访问的统一安全链路。

# 应用身份协同

G2rain 强调“真正的应用化”,因此每个应用具备独立身份。

g2rain-iam 与应用侧、公钥注册信息以及前端安全链路协同,完成应用身份相关的鉴权基础能力。

# 企业级访问控制基础

它与 g2rain-basis 的角色、资源、功能权限与业务能力模型协同,支撑企业级访问控制体系。

# 关键机制

# 企业级安全链路

G2rain 的安全链路并不只依赖传统会话概念,而是围绕平台、应用与客户端三者关系建立更完整的身份流转机制。

这里的关键在于:

  • 平台统一维护身份认证核心能力
  • 应用具备独立身份
  • 前端与 API 接口形成完整安全链路

# 应用独立身份机制

每个应用在平台中都有应用信息,并注册公钥。

应用自身保存私钥,在需要为客户构建 Token 时参与签名。对于前端应用,这一过程通过 OpenResty + Lua 与平台身份体系协同完成。

# 客户端初始化机制

为了提升初始令牌建立阶段的安全性,平台引入更强的客户端身份参与机制,用于在首次访问应用时完成客户端身份材料初始化,并配合 IAM 与应用服务端完成用户身份令牌建立。

这一机制强调:

  • 浏览器端参与身份初始化
  • 平台与应用共同完成安全协同
  • 更适合企业级高安全访问场景

# 适用场景

  • 平台统一登录与认证
  • 多应用统一身份接入
  • 企业级安全访问链路建设
  • 前端应用与后端接口协同鉴权
  • 与平台权限模型联动的访问控制

# 相关模块

# 进一步阅读