平台化服务的基石(一):用户认证模型设计

Posted by Coding Ideal World on May 27, 2020

用户权限(IAM)可以说是平台化建设最基础的服务,该服务建设的好差直接关系到平台化建设的成败。而用户及认证体系的设计更是基础中的基础,可谓是牵一发而动全身。本文我们以问题导向,聊一聊用户认证模型的设计。

基本概念

身份识别与访问管理(IAM,Identity and Access Management)包含了四个重要概念:

  • 认证(identification):确认访问者的身份,可通过用户名+密码, 手机号+验证码等方式,常见于登录操作

  • 授权(authorization): 为访问者委派权限并返回凭证,常见于Token形式

  • 鉴权(authentication): 根据访问者凭证确定访问者身份,常见于基于请求Token找到对应的账号

  • 权限控制(permission control): 根据访问者的权限配置及访问对象判断权限合法性,常见于基于ACL/RBAC模型扩展实现权限管理

这四个词在后文会经常提及,不要混淆。

用户隔离

作为平台服务需要支撑不同的组织粒度,比如不同的部门、业务线、公司,而不同组织粒度对用户信息有不同的隔离要求,比如一般而言,不同公司之间用户是隔离的,即用户U1在公司C1与公司C2下是两个独立的对象,可以有不同的密码、不同的个人信息,再如一般而言同一公司不同业务线间用户应该是共享,用户U1在业务系统S1中改了密码那么在同一公司的业务系统S2中也会修改。

2020 05 21 20 57 46

这时我们就引出用户模型最基础的概念:租户、应用。

租户(Tenant)是数据隔离单位,不同租户间的数据不能共享(也有例外,后续文章会涉及“超级租户”)。一个租户可以有多个应用,应用(App)面向业务系统,一般而言,一个应用对应于一个业务系统,但并不强制这种一对一的关系。账号(Account)隶属于租户,即便是同一个自然人在不同租户间也会有各自的账号,同一租户的不同应用共享账号信息。

Table 1. 用户隔离示例
账号名 关联租户

张三

T1

张三

T2

李四

T2

上表可知,张三在T1、T2租户下是两条记录。

差异化认证

不同的产品可能会有不同的认证方式,如产品P1需要支持用户名+密码、微信OAuth,产品P2需要支持用户+密码、手机号+验证码等。

2020 05 21 21 17 20

这时我们会引入两个对象:账号认证(AccountIdent)及 账号认证配置(AccountIdentConfig),一个账号可以有一个或多个认证项,每个应用可以配置不同的认证项。

Table 2. 差异化认证-账号认证配置示例
认证类型 规则正则 OAuth AK OAuth SK 关联应用

用户名+密码

^(?!$)(?![a-zA-Z]$)[0-9A-Za-z]{8,16}$

A1

手机号+验证码

A1

微信公众号

9394jyd83jd9…

3o0kd93kdlc9…

A1

手机号+验证码

A2

如上表,A1应用有三种认证方式,A2只能用手机号+验证码。

Table 3. 差异化认证-账号认证示例
认证类型 AK SK 关联账号

用户名+密码

zhangsan

kd032ks2df2…

张三

手机号+验证码

186xxxx

张三

如上表,张三在A1应用下添加了两个认证,用户名+密码时AK为用户名,SK为加密后的密码,手机号+验证号时AK为手机号,SK为空(验证码多存储在缓存中)。

Note
限制

对于 用户名/身份证/工号+密码 登录的方式本模型有一定缺陷,需要存储三行记录,每种AK对应的SK(密码)以不同,但如果要相同时需要有复制逻辑,指定一个基础认证作为复制的源头。

Tip
为什么不把AK写到Account表

在架构原则中说明了平台服务要支持不停服部署,而不停服的一个要求就是数据模型的稳定性,即使是对表加一个字段都可能导致服务暂停(MySQL需要有DML写锁,在有查询或事务在进行时可能导致表不可读写)。

认证类型有多种,要求可扩展,故不能写入到Account表。

多端登录

  1. 应用A有PC版、APP版,要求APP和PC用户可以同时在线

  2. 应用B只有PC版,要求同一时间只能在一处登录

  3. 应用C也有PC版本、APP版本,要求PC上只能在一处登录,但PC登录时不能把APP的登录挤下线

2020 05 27 08 41 51

这里加了账号凭证配置(AccountCertConfig),一个账号可以有一个或多个凭证,一般而言凭证对应的是Token。

这个模型的核心是将凭证分成多种类型(Kind),每种类型拥有包括保留版本数量、有效时间在内的个性化设置。

Table 4. 多端登录-示例1
凭证类型 保留版本数量 关联租户

PC

1

t1

MOBLIE

1

t1

上表配置了两种凭证类型,每个凭证类型各保留一个版本,即APP上同时只能有一个终端在线(不允许在多个手机上登录),PC上也同时只能一个终端在线,但允许APP与PC同时在线。

Table 5. 多端登录-示例2
凭证类型 保留版本数量 关联租户

ALL

1

t1

上表只配置了一个凭证类型,并且只保留一个版本,那么无论什么类型的终端同时一时间只能有一个终端在线。

Tip
凭证类型是登录时由前端(更灵活)或服务端(更安全)传入的,可由业务上自定义。
Table 6. 多端登录-示例3
凭证类型 保留版本数量 关联租户

ALL

3

t1

APP1_PC

1

t1

APP1_IOS

1

t1

APP1_ANDROID

1

t1

上表配置的含义是默认(业务上传入Kind = ALL)t1租户允许同时有3个终端在线,但对APP1这个应用而言允许PC、IOS、ANDROID各终端(业务上传入Kind = APP1_PC / APP1_IOS / APP1_ANDROID)各自只能有一个终端在线。

子父账号

  1. 用户权限中心要求支持RAM( Resource Access Management)用户,RAM用户的权限是其所属账号的子集

  2. 业务上可能需要由某账号临时代替另一个账号做一些操作,比如领导休假,他的一部分审批权限要临时给到某个下属,另一部分的审批权限要临时给到另一个下属

2020 05 27 08 12 04

这个需求不需要添加模型,只要在账号(Account)模型下添加两个字段即可:

  1. openId,给业务方使用,用于标识账号唯一性的字段

  2. parentId,父账号Id

Tip
一般而言,不会将账号表的Id(数据库主键)给到业务方,一方面在做分库分表操作时Id可能变更不够稳定,另一方面暴露了内部关系不够安全,所以更倾向于使用openId,openId可以是UUID也可以自定义业务表达。

这一模型的核心是:

  1. 业务方以openId与用户权限中心交互

  2. 子父账号Id不同,但openId相同

  3. 无论是父账号还是子账号都拥有完整的认证、权限关联,不同之处在于给子账号授权时只能授予父账号权限子集

Table 7. 子父账号-示例
账号Id 账号OpenId 账号ParentId

1

ie93322sf…

2

ie93322sf…

1

3

ie93322sf…

1

4

jis92js19…

上表有2个父账号,2个子账号(关联账号1),由于子父账号有完善的权限关联,所以很容易实现RAM用户功能要求。

有意思的是这一模型实现了2个维度的账号识别:

  • 由于子账号、父账号都有独立的认证方式(子账号拥有独立的手机号、用户名等)所以子父账号间Token不同,故站在用户权限中心的角度可以区分当前是哪个账号操作

  • 子父账号的openId相同,故业务方无法感知当前是子账号还是父账号在操作(如果需要区分时可以拿Token向用户权限中心换取账号信息)

这种 多维用户识别 带来了很大灵活性,比如上面审批需求。正常情况将自己的审批权限给某人需要在审批系统上实现“指派”功能,指派还要限定时间、范围,到期后还要回收。但有了多维用户识别后领导可以把自己部分权限给到某些子账号,用户权限中心可以区别子父账号,所以子账号登录后在用户权限中心能获取到可审批的权限;业务系统记录的是openId,子父账号openId相同,所以在业务系统上视为同一个人,这样业务系统几乎不需要改动就可以完成上述的功能需求。

应用认证

需要有能鉴别不同应用身份的方式,以对各应用做相应的权限管控。

2020 05 27 08 43 29

这就是最常见的应用认证(AppIdent)模型,每个应用有一个或多个认证实例,这里的AK/SK就是大家熟知的Access Key Id/Secret Access Key,每个应用创建时生成一组默认的AK/SK,管理员也可手工创建多组AK/SK,将不同的AK/SK给到不同的服务以实现更细粒度的权限管控。

小结

本文我们简单地介绍了用户权限中心的用户认证模型设计,涉及了几个核心的点,但一个真实的、可用的模型会比本文介绍的复杂很多。

在后续的文章中,笔者会陆续介绍诸如用户权限中心的权限、用户触达中心(消息中心)、数据共享中心、规则中心、风控系统等相关的模型设计。