在多系统、多角色、多端协同的产品体系中,“统一身份认证”是用户中心能力标准化的基石。它不仅关乎登录体验,更决定了权限体系、数据安全与平台扩展的上限。本文将从能力抽象、架构演进与落地路径三方面,拆解这一关键能力的设计逻辑。名词解释单点登录SSO:一种身份认证方案,它允许用户使用一组凭证(如用户名和密码)一次性登录后,即可获得一定有效期访问多个相关联但独立的软件系统的权限,而无需在访问每个系统时都重新登录。令牌token:在身份认证的上下文中,它作为一个数字凭证来承载用户身份和权限,在用户(客户端)和应用系统(服务端)之间传递,用以证明用户的身份和访问权限,而无需频繁传输敏感的用户凭证(如密码)。为什么需要统一身份认证在此前的文章里面,说明用户模块在B端系统中的定位,可以拆分为组织架构-用户管理、权限管理、身份认证+鉴权、安全审计。而在用户中心落地过程中,统一身份认证是集中进行用户身份信息验证的服务。从用户、研发、运维、后续迭代等角度出发,涉及多系统协同、数据集成等场景存在以下痛点是需要后续解决的:当跨系统协作时,需要逐个登录后方可进行业务操作,用户体验不佳;多系统研发,每个系统都需要开发登录、注册、鉴权等功能,功能重复建设;多个系统,多套账密,数据分散不方便维护;当用户设备丢失等意外情况发生时,不能一键迅速冻结;业务拓展后,存在三方对接场景时,需要逐个对接用户身份信息,不能形成通用对接方案,在满足需求基础上减少重复工作量;而搭建统一身份认证,集中进行用户身份信息验证的价值主要包括:提升用户体验:一次登录,全业务畅行。增强安全性:集中化的安全策略(密码复杂度、多因素认证、风险识别)。降低开发成本:标准化认证能力,业务方无需关心认证逻辑,聚焦核心业务。赋能业务与数据:汇聚用户身份入口,为用户画像、精准营销提供统一数据基础。满足合规要求:集中管理用户有效标识和授权记录。统一身份认证定义统一身份认证:将企业内所有应用的身份验证功能抽离,由一个独立的、专业的认证服务来统一处理用户身份的“真实性”验证。核心原则:集中、标准、安全、可扩展;设计思路第一步,梳理用户模块中,服务组成及各服务关系:用户管理:进行用户主数据和用户类型数据的存储、增删改查和生命周期管理;权限管理:进行用户权限的分配和鉴权访问;身份认证:验证用户身份信息是否有效;审计:记录及监控所有访问行为;此外的拓展服务又可以包括:用户身份治理如密码策略等。基于以上,可以知道四个服务间为同级协作关系,共同实现用户模块的功能。第二步,统一身份认证的核心模块1、认证模块多认证方式:账密、手机号+验证码、三方登录如微信、生物识别如人脸和指纹、数字证书;引申多因素认证,如动态口令等第二因素的认证方式。认证会话:Token、Session的颁发、验证、刷新与销毁。2、单点登录基于标准协议(如OAuth 2.0等)实现Web/App/跨域的单点登录。3、安全模块防爆力破解:登录尝试频率限制。异常登录检测:新设备、新IP、异地登录告警与处置。密码安全:密码策略(如周期性修改、密码强度要求等)。登录记录:已登录用户的认证设备、安全记录管理。除此之外,注册、登录、密码找回、手机号更换等前端界面也属于标准化输出的前端SDK产物,配套输出。认证逻辑架构从上面信息可以了解到,统一身份认证的核心逻辑操作是进行用户身份验证,从而给予一个有效期内的身份令牌供其跨系统/服务进行业务操作。这里面的角色可以简要拆分为以下四种:用户终端(客户端/web端/app端等)认证中心(身份提供方)业务应用(调用方)认证流程如下:预期目标用户数据基于用户类型定义的数据结构进行维护;用户权限通过RBAC+ABAC实现权限管理;用户登录、认证通过统一身份认证实现有效校验;这个时候,用户中心这个标准化能力最核心的功能已经搭建完成了。实现了从“这个用户是谁”-“怎么证明他是他”-“他被允许做些什么”全周期的管理。这里,引入“统一用户”和“统一身份管理IAM”的概念。统一用户:一种企业级战略和管理理念,其核心目标是建立并维护一个全局唯一、权威、一致的用户数据源,从而解决因业务系统孤立而造成的“用户数据孤岛”问题。关注的是用户数据本身的集中化、标准化和生命周期管理。统一身份管理IAM:一个完整的技术框架和流程体系,其核心目标是对数字身份进行全面的管控,确保正确的用户在正确的时间、通过正确的方式访问其被授权的应用和资源。它关注的是身份验证和访问控制的流程与策略。用户中心标准化能力搭建完成,最终的目标就是实现统一用户及统一身份管理,让用户数据集中维护,统一身份管理集中进行授权、认证等,从而形成一个完整的用户中心标准化能力/产品进行输出和业务支撑。后续后续文章中将会对于B端系统构建中“消息中心标准化能力设计”进行介绍。本文由 @西林 原创发布于人人都是产品经理。未经作者许可,禁止转载题图来自Unsplash,基于CC0协议