权限体系之-01-基于 ums 的 passport 平台

chat

已有 ums 平台，想在 Ums 的基础上，拓展为 passport 平台，还需要哪些能力？

✅ 一个“只会管人”的 UMS，如何进化成真正的“认证中心 Passport”？

我们用「可落地 + 架构级视角」帮你拆开说清楚。

---

一句话结论

从 UMS 演进到 Passport，不是加几个登录接口，而是要补齐：

身份验证 + 会话机制 + 安全体系 + 认证协议 + 风控能力

可以理解为：UMS 是“人事档案”，Passport 是“通行证签发机关”。

---

一、从 UMS 到 Passport 的核心能力差异

UMS 已有（典型）

• 用户基本信息
• 角色 / 部门
• 权限关系
• 用户状态管理

Passport 需要新增的能力模块

可以分为 6 大块：

认证能力
↓
会话体系
↓
安全与风控
↓
协议标准
↓
统一认证接口
↓
审计与日志

---

二、必须新增的核心能力清单（重点）

1. 统一认证引擎（Authentication Engine）

这是 Passport 的心脏。

你需要补齐：

• 登录方式支持：

  • 用户名 + 密码
  • 手机验证码
  • 邮箱验证码
  • 第三方登录（可选）

• 密码安全体系：

  • 密码加密存储（bcrypt / PBKDF2）
  • 密码复杂度策略
  • 密码有效期策略

• 认证流程抽象：

  • authCode 模式
  • token 模式

👉 从“验证用户是否存在”升级为“是否可信身份”。

---

2. Token & 会话管理体系

UMS 大多只是查数据库，而 Passport 必须引入“身份令牌”。

需要包括：

• Token 管理

  • JWT / SessionID
  • access_token
  • refresh_token

• Token 生命周期控制

  • 有效期
  • 自动刷新机制
  • 主动注销
• 单设备 / 多设备策略
• 强制下线机制

本质：

从“查用户”变成“发身份凭证”。

---

3. 登录态控制与策略

UMS 一般没有“登录状态”概念，Passport 必须有：

• 是否允许多端同时登录
• 重复登录处理策略
• 登录时间限制
• 异地登录检测

示例能力：

• 同一账号仅允许一个设备在线
• 重要操作需重新验证

---

4. 安全与风控能力（核心升级点）

这是 UMS 几乎没有的，但 Passport 必须具备：

风控机制包括：

• 登录失败次数限制
• 验证码机制
• 滑块验证 / 行为验证
• IP 黑名单
• 登录异常检测
• 防暴力破解

这部分直接决定系统安全等级。

---

5. 标准认证协议支持

如果你未来要接入 SSO 或第三方，这是刚需：

推荐支持：

• OAuth2
• OpenID Connect
• JWT Standard

能力包括：

• 授权码模式
• 客户端凭证模式
• Token 校验接口
• 公钥下发机制

这是 Passport 向 SSO 进化的桥梁。

---

6. 登录行为审计与日志体系

UMS 记的是“用户数据”，Passport要记的是“谁在何时登录”。

应该新增：

• 登录日志
• 失败记录
• 设备标识
• IP + 地理位置
• 登录方式

为安全审计和溯源提供依据。

---

三、能力补充对照表

能力维度	UMS	Passport
用户管理	✅	✅
登录认证	❌	✅
Token 管理	❌	✅
会话控制	❌	✅
风控安全	❌	✅
登录日志	❌	✅
协议标准	❌	✅
多系统认证	❌	可选

---

四、推荐的模块拆分结构

在 UMS 基础上扩展为 Passport，建议新增这些模块：

ums-core
  ├─ user-service（原有）
  ├─ role-service
  ├─ permission-service
passport-auth
  ├─ login-service
  ├─ token-service
  ├─ session-service
  ├─ captcha-service
  ├─ risk-control-service
  ├─ oauth2-service

架构关系：

[客户端]
     ↓
[Passport Auth]
     ↓
[UMS 用户系统]

---

五、典型扩展路线（循序渐进）

建议分阶段升级：

第一阶段：基础 Passport

• 账号密码登录
• token 发放
• 登录日志
• 基本验证码

第二阶段：安全加强

• 风控策略
• 异地登录
• 强制下线

第三阶段：开放认证平台

• OAuth2 接口
• 第三方系统接入
• 标准 SSO 接口

---

六、典型流程变化对比

原 UMS 登录

前端 -> 查询用户 -> 判断密码 -> 返回结果

Passport 登录

前端 -> Passport
       -> 校验账号
       -> 校验密码
       -> 风控策略
       -> 生成 token
       -> 写入会话
       -> 返回通行证

---

七、从 UMS 到 Passport 的关键架构变化

核心转变是：

维度	UMS 时代	Passport 时代
登录逻辑	业务系统各自处理	集中统一处理
状态管理	无	有
安全体系	弱	强
扩展性	低	高

---

八、总结：从 UMS 到 Passport 本质上做了什么？

一句话总结：

从“用户信息系统”升级为“身份认证中心”。

你不是简单增加登录接口，而是在构建一个：

• 统一入口
• 统一安全
• 统一身份凭证
• 面向未来SSO的基础平台

参考资料

• chat
  • 已有 ums 平台，想在 Ums 的基础上，拓展为 passport 平台，还需要哪些能力？
• 一句话结论
• 一、从 UMS 到 Passport 的核心能力差异
  • UMS 已有（典型）
  • Passport 需要新增的能力模块
• 二、必须新增的核心能力清单（重点）
  • 1. 统一认证引擎（Authentication Engine）
  • 2. Token & 会话管理体系
  • 3. 登录态控制与策略
  • 4. 安全与风控能力（核心升级点）
    • 风控机制包括：
  • 5. 标准认证协议支持
  • 6. 登录行为审计与日志体系
• 三、能力补充对照表
• 四、推荐的模块拆分结构
• 五、典型扩展路线（循序渐进）
  • 第一阶段：基础 Passport
  • 第二阶段：安全加强
  • 第三阶段：开放认证平台
• 六、典型流程变化对比
  • 原 UMS 登录
  • Passport 登录
• 七、从 UMS 到 Passport 的关键架构变化
• 八、总结：从 UMS 到 Passport 本质上做了什么？
• 参考资料