chat
身份基石 (用户) 围绕这个模块,一般要实现哪些系统平台? 比如 sso passport ums 之类的
明白,你是想从“身份基石(用户模块)”出发,梳理企业/互联网平台通常需要哪些系统或子平台来支撑整个用户体系。我们可以从身份管理的核心能力出发,把 SSO、Passport、UMS 等模块归类成逻辑体系。
1️⃣ 核心概念:身份基石(用户模块)
身份基石的作用是:保证平台每个用户都有唯一身份、权限可控、行为可追踪、安全可保障。
围绕这个核心,需要的系统一般包括:
| 系统/模块 | 核心职责 | 举例/说明 |
|---|---|---|
| UMS(User Management System)用户管理系统 | 用户注册、登录、权限、角色、组织架构管理、用户画像 | 核心用户数据仓库;决定谁能用、能做什么 |
| SSO(Single Sign-On)单点登录平台 | 跨子系统统一认证,用户一次登录即可访问多个应用 | 企业内部常用;如果有 Web + 移动端 + SaaS 多应用,需要统一身份入口 |
| Passport / Auth Server | 认证与授权服务,通常实现 OAuth2/OIDC、JWT、Token 签发 | 对外开放 API 或移动端使用;也可以做社交登录接入(微信、Apple ID) |
| MFA / 二次验证模块 | 双因素、验证码、短信、邮箱、TOTP(Google Authenticator) | 提升账号安全,防止凭证泄露被直接盗用 |
| 统一用户目录 / LDAP / Active Directory | 企业内部用户统一存储、组织管理 | 企业级内部应用常用;支持 SSO 与权限管理 |
| 权限/策略管理系统(PAM / ABAC / RBAC) | 控制用户对资源的访问权限,策略定义和审计 | 对敏感操作、交易、数据访问进行精细化控制 |
| 身份审计与风控模块 | 登录日志、异常行为检测、风控规则 | 防刷、防盗号、防滥用;为平台安全闭环提供数据 |
| 社交/第三方登录接入平台 | 统一管理微信、Apple、Google、Facebook 等登录 | 降低注册成本,提高留存和覆盖率 |
| 单点登出与会话管理模块 | 会话统一管理、过期策略、主动登出 | 对应 SSO 与移动端长期会话管理 |
2️⃣ 如何理解它们的关系
- UMS 是核心数据库:用户信息、角色、组织架构、状态全在这里。
- Passport / Auth Server 是认证授权中枢:对外 API 或应用调用统一登录、Token 签发。
- SSO 是统一入口:打通多应用、多端的登录体验。
- MFA、风控、权限管理是安全保障:确保身份使用安全,防止滥用。
- 社交登录是用户增长手段:降低注册门槛,同时通过 Passport / Auth Server 做统一管理。
3️⃣ 核心逻辑图(文字版)
┌─────────────┐
│ 用户模块 │(身份基石)
└─────┬───────┘
│ 用户信息
▼
┌────────────┴────────────┐
│ UMS 用户管理 │
└─────┬────────────┬───────┘
│ │
┌────▼─────┐ ┌────▼─────┐
│ Passport │ │ 权限/风控 │
│ /Auth │ │ 管理 │
└────┬─────┘ └────┬─────┘
│ │
┌────▼─────┐ ┌─────▼────┐
│ SSO │ │ MFA/二次验证│
└────┬─────┘ └───────────┘
│
┌─────▼─────┐
│ 多端/应用 │
└──────────┘
💡 总结:
