# g2rain-iam
g2rain-iam 是 G2rain 平台统一身份认证与企业级安全链路核心模块,负责用户身份建立、令牌体系、应用身份协同与平台安全访问控制。
# 模块定位
在 G2rain 整体体系中,g2rain-iam 位于平台核心层,与网关、前端应用和平台基础控制能力共同构成企业级身份与安全链路。
它关注的重点不是单次登录动作本身,而是平台如何在多应用、多角色、多租户场景中建立统一、可靠、可扩展的身份体系。
# 核心能力
# 统一身份认证
g2rain-iam 负责平台统一认证入口与用户身份建立,是平台用户访问各类前端与后端能力的统一身份基础。
# 令牌与安全链路
平台通过 g2rain-iam 组织令牌建立、校验与协同流程,用于支撑平台内部服务、前端应用与接口访问的统一安全链路。
# 应用身份协同
G2rain 强调“真正的应用化”,因此每个应用具备独立身份。
g2rain-iam 与应用侧、公钥注册信息以及前端安全链路协同,完成应用身份相关的鉴权基础能力。
# 企业级访问控制基础
它与 g2rain-basis 的角色、资源、功能权限与业务能力模型协同,支撑企业级访问控制体系。
# 关键机制
# 企业级安全链路
G2rain 的安全链路并不只依赖传统会话概念,而是围绕平台、应用与客户端三者关系建立更完整的身份流转机制。
这里的关键在于:
- 平台统一维护身份认证核心能力
- 应用具备独立身份
- 前端与 API 接口形成完整安全链路
# 应用独立身份机制
每个应用在平台中都有应用信息,并注册公钥。
应用自身保存私钥,在需要为客户构建 Token 时参与签名。对于前端应用,这一过程通过 OpenResty + Lua 与平台身份体系协同完成。
# 客户端初始化机制
为了提升初始令牌建立阶段的安全性,平台引入更强的客户端身份参与机制,用于在首次访问应用时完成客户端身份材料初始化,并配合 IAM 与应用服务端完成用户身份令牌建立。
这一机制强调:
- 浏览器端参与身份初始化
- 平台与应用共同完成安全协同
- 更适合企业级高安全访问场景
# 适用场景
- 平台统一登录与认证
- 多应用统一身份接入
- 企业级安全访问链路建设
- 前端应用与后端接口协同鉴权
- 与平台权限模型联动的访问控制