成熟企业级技术平台 MVE-010-passport 平台

概览

UMS 平台

PASSPORT 平台

SSO 平台

PERMISSION 平台

应用管理

审计中心

IGA（Identity Governance & Administration，身份治理与管理）平台

跳板机 / 堡垒机（Jump Server / Bastion Host）

相关开源项目

可以参考一下老马开源的项目：

敏感词核心库: https://github.com/houbb/sensitive-word

敏感词控台：https://github.com/houbb/sensitive-word-admin

日志脱敏：https://github.com/houbb/sensitive

加密工具：https://github.com/houbb/encryption-local

chat

一、平台定位

1️⃣ 核心目标

• 统一身份认证：为企业内部及外部应用提供统一登录入口。
• 支持单点登录（SSO）：用户只需一次认证即可访问所有系统。
• 安全策略执行：密码策略、多因素认证、风控登录策略。
• 跨系统集成：提供标准协议和 API 接口，与 UMS、Permission、Audit 等系统联动。

2️⃣ 在企业体系中的位置

IAM 平台
├── UMS（用户管理系统）
├── Passport（统一认证平台）
├── Permission（权限/资源引擎）
├── App-Manage（应用管理）
└── Audit（审计与合规）

• Passport 负责 身份验证与会话管理，依赖 UMS 提供用户信息，并为下游权限系统提供认证结果。

---

二、核心功能模块

Passport 平台
├── 用户认证
├── 单点登录（SSO）
├── 会话管理
├── 多因素认证（MFA）
├── 风控登录
├── 外部身份集成
└── 审计与安全报表

1️⃣ 用户认证

• 支持多种认证方式：

  • 用户名/密码
  • 邮箱/手机验证码
  • 社交账号 / 第三方 OAuth2 登录
• 支持多租户或多域登录
• 密码策略：复杂度、过期、历史密码限制

2️⃣ 单点登录（SSO）

• 支持标准协议：

  • SAML 2.0
  • OAuth2 / OpenID Connect (OIDC)
  • JWT Token
• 跨域会话管理
• 支持移动端与 Web 端统一登录

3️⃣ 会话管理

• Token / Session 统一管理
• 会话有效期控制与刷新机制
• 异地登录控制
• 会话安全策略（IP 白名单、设备绑定）

4️⃣ 多因素认证（MFA）

• 支持 TOTP / OTP / 短信 / 邮件 / 硬件密钥
• 可按用户、角色、风险策略动态触发
• 与灰度发布和高风险操作联动

5️⃣ 风控登录

• 异常行为识别：

  • 异地登录
  • 高频失败登录
  • 可疑设备访问

• 触发策略：

  • 阻断登录
  • 二次认证
  • 告警通知

6️⃣ 外部身份集成

• LDAP / AD 同步
• 社交 / 企业外部身份提供商
• SSO 集成到第三方应用

7️⃣ 审计与安全报表

• 登录日志、认证事件
• MFA 触发和失败统计
• 会话异常、风险事件报表
• 支持合规需求（ISO / SOC / GDPR）

---

三、核心技术能力

能力	说明
多协议支持	OAuth2, OIDC, SAML, JWT
高可用与分布式	支撑企业级用户量和高并发登录
安全策略	密码策略、MFA、风控登录、会话安全
统一会话管理	支持跨应用、跨域 SSO，会话生命周期管理
集成能力	API / SDK 提供认证结果给下游应用
审计能力	登录/操作日志、异常检测、报表输出

---

四、与其他系统的关系

应用系统 / 服务
       ↓
     Passport（认证）
       ↓
    UMS（用户信息）
       ↓
Permission / Audit / App-Manage

• 上游：应用系统调用 Passport 进行身份验证

• 下游：

  • UMS 提供用户身份信息和状态
  • Permission 获取认证结果后进行授权决策
  • Audit 记录认证和登录事件

---

五、企业级架构设计

1️⃣ 逻辑架构

Passport Platform
├── 认证引擎
│   ├── 用户名/密码认证
│   ├── 第三方 OAuth2/SAML
│   └── MFA 风控认证
├── 会话与 Token 管理
│   ├── Token 生成与验证
│   ├── 会话刷新与失效
│   └── 多终端会话控制
├── 风控与策略引擎
│   ├── 异常登录检测
│   ├── 风险评分
│   └── 登录策略触发
├── API / SDK 接口层
│   ├── 应用集成
│   └── 第三方身份集成
├── 审计与日志
│   ├── 登录事件
│   ├── MFA事件
│   └── 风控事件
└── 数据存储与缓存
    ├── 用户状态 / Session
    ├── Token 存储
    └── 缓存优化 (Redis / Memcached)

2️⃣ 数据模型核心表（示例）

• auth_user（认证用户主表）
• auth_session（会话 / Token 表）
• auth_mfa（MFA 配置表）
• auth_login_log（登录日志表）
• auth_risk_event（异常事件表）
• auth_oauth_client（第三方客户端表）

---

六、典型功能场景

场景	描述
企业门户登录	用户统一登录所有内部系统
第三方应用 SSO	OAuth2 / OIDC 集成企业认证
MFA 高风险操作	转账、权限变更需要二次认证
异地登录阻断	异常 IP 或设备登录自动触发风险策略
会话管理	用户注销/过期会话统一失效
审计合规	提供登录、MFA、异常事件报表

---

七、Passport 平台建设价值

1. 统一认证：消除多系统重复登录，实现 SSO
2. 安全性提升：MFA + 风控策略降低账号风险
3. 开发效率：应用系统无需重复实现认证逻辑
4. 支持权限体系：下游 Permission 依赖认证结果做授权
5. 审计合规：全量登录和事件记录满足合规要求

• 概览
• 相关开源项目
• chat
  • 一、平台定位
    • 1️⃣ 核心目标
    • 2️⃣ 在企业体系中的位置
  • 二、核心功能模块
    • 1️⃣ 用户认证
    • 2️⃣ 单点登录（SSO）
    • 3️⃣ 会话管理
    • 4️⃣ 多因素认证（MFA）
    • 5️⃣ 风控登录
    • 6️⃣ 外部身份集成
    • 7️⃣ 审计与安全报表
  • 三、核心技术能力
  • 四、与其他系统的关系
  • 五、企业级架构设计
    • 1️⃣ 逻辑架构
    • 2️⃣ 数据模型核心表（示例）
  • 六、典型功能场景
  • 七、Passport 平台建设价值