V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
wangxiaoaer
V2EX  ›  问与答

多个子系统用户认证、授权问题

  •  
  •   wangxiaoaer · 2020-07-24 11:12:22 +08:00 · 1008 次点击
    这是一个创建于 1582 天前的主题,其中的信息可能已经有所发展或是发生改变。

    一个应用划分为 10 多个子系统,每个子系统可能由不同的团队负责。

    那么关于用户体系这一块涉及两部分:

    1 认证:肯定不可能让每个子系统做独立的认证,打算拆分出一个独立的“认证子系统”做用户认证,这个认证可以实现用户名密码,也可以接入 qq 、微信等。其他子系统再跟这个“认证子系统”进行交互,那么问题是采用什么交互方式?第一反应是 SSO,不知道是否合适,是不是目前主流的做法?

    OAuth2 好像是实现的一种方式,但是个人不是很倾向于这个方案,首先过于负责(涉及的名词、角色等等),其次每个子系统好像是互相独立的,认证成功后用户登录状态是各自维护的,一个退出不影响另一个,而且登陆流程好像是显式的(点击、弹出窗口、返回),我们需要无感。 这部分可能理解有误,欢迎批评指正。

    2 授权:粗权限(能否访问某个系统)、细权限(能够有某个功能的某个操作)。前者感觉可以在网关层面设置,后者是不是必须在单独的业务子系统里面设置?那是不是意味着权限设置是比较分散的? 有没有办法在一条统一的地方实现所有的用户、权限(包括粗、细粒度)设置?

    2 条回复    2020-07-24 17:08:25 +08:00
    netnr
        1
    netnr  
       2020-07-24 11:34:56 +08:00
    caaaalabash
        2
    caaaalabash  
       2020-07-24 17:08:25 +08:00
    1. 拆分出一个“认证中心”, 其他子系统和“认证中心”, 之间使用单点登录就 vans, 相信你会遇到跨一级域名和 sameSite: None 的坑
    2. “认证中心”维护各个子系统的“权限分组”以及“可访问路由”, 细权限能统一的就能放在“认证中心”

    设想的结构如下

    ````
    {
    子系统 A: {
    权限分组: [
    {
    分组名称: 游客,
    可访问路由: [id1, id2, id3],
    细分权限: 较为统一的的方式我只能想到按照增删改查来分
    }
    ],
    基础路由表: [
    { id, path, label }
    ]
    }
    }
    ````
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   991 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:55 · PVG 03:55 · LAX 11:55 · JFK 14:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.