公司原有的技术体系内,所有服务都部署运行在由公司自行维护的服务器中。由于物理服务器成本居高不下、资源利用率低、安全程度低,且旧服务所用的技术架构已过时,公司利用云计算的高可用性、可扩展性等优势,将原来的所有服务陆续迁移到云上,重新进行拆分设计,以便之后能够更好地应对业务变更,因此基于微服务架构的统一身份认证与授权平台亟待开发。在该平台的开发与设计中,采用微服务架构处理服务迁移,通过RESTful API实现服务之间的调用。服务相互调用过程中需要考虑权限鉴定(鉴权)问题,在之前的技术体系下,单个网关承担所有请求的鉴权,但这种方式在服务不断增加、请求数不断增加的情况下存在单点故障的风险。基于此,平台设计了分布式鉴权方案,结合OAuth 2.0标准和JWT标准,将令牌校验分配给各个资源服务器独立处理,从而提高并发度。考虑到用户安全性问题,鉴权之前需要对请求方进行识别,因此平台还设计了统一的身份认证方案,包含对于使用外部产品用户的身份认证以及使用内部工具平台的内部员工的认证。身份认证方案采用OIDC标准,并与第三方身份提供商(IDP)进行集成,为用户提供更丰富的认证方式。统一的身份认证与授权解决方案由于设计成微服务的形式,可以高效地和其他业务团队、第三方合作伙伴进行集成。除了核心的身份认证与授权功能模块,本平台还包含欺诈检测模块、用户信息管理模块以及行为数据记录模块。平台拆分为多个微服务,开发使用了webflux框架,充分利用其反应式编程的特点,提高服务性能。行为数据日志利用Google的Pub/Sub工具,通过发布订阅的消息流模式进行日志数据的发布与消费。统一身份认证与授权平台成功解决了在新的微服务架构下的服务间相互调用的鉴权需求并将各个工具平台的身份认证入口进行了统一,从而促使企业应用向平台化演进、为构建开放平台和业务生态提供了必要条件。该平台所包含的各个服务均已上线运行,平台性能稳定,并且在响应需求变更时更加迅速、敏捷。