passport

随着系统越来越多, 后台、运营台、配置台、对外系统…… 你会发现一个很真实的体验: 人一天要登录好几次。

有的人开始抱怨, 但那时候你还觉得, “忍忍也行”。

真正开始难受, 往往不是因为“多输几次密码”, 而是事情开始对不上了。

比如:

  • 这个人刚改了密码,为什么那边还能登?
  • 他不是被禁用了吗,怎么 API 还能调?
  • Token 到底是谁发的?
  • 出问题该查哪个系统?

你会发现, 问题已经不是“登录体验”, 而是登录这件事本身没有统一的来源

passport 往往就是在这个时候出现的。

不是因为你想做一个“平台”, 而是因为你需要一个地方, 能拍着胸脯说一句

“登录这件事,我来负责。”

很多人一听 passport, 就会下意识想复杂。

协议、标准、安全、风控…… 这些当然重要, 但说实话, 真正让 passport 成立的,不是技术,是共识。

所有系统是否同意一件事:

只认它发的通行证。

只要这一点没统一, passport 再漂亮, 也只是个“登录中转站”。

我见过不少“看起来有 passport”的系统。

页面也统一了, 跳转也走一遍, 但每个系统:

  • 自己发 Token
  • 自己管过期
  • 自己决定踢不踢人

这种情况下, passport 更多像个“门面”, 而不是“入口”。

真正的 passport, 存在感其实很低。

平时你几乎感觉不到它。 但它一旦不稳, 所有系统都会跟着不稳。

密码策略、登录态、封禁、下线, 这些事如果没一个统一出口, 最后一定会变成:

“好像都对,又好像哪都不对。”

还有个挺有意思的点。

passport 很容易被“顺手多干点活”。

一开始只是登录, 后来有人说:

  • “顺便查下用户信息吧”
  • “这里能不能帮我判断下权限”
  • “这个逻辑放你那是不是更合适”

如果你不拦着, passport 很快就会变成一个 什么都沾一点,但谁都离不开的东西

到那一步, 你再想拆,就很痛。