身份系统很少在系统上线第一天就成为瓶颈,但它经常在业务做大之后突然变成全局卡点:企业客户要接入 SSO,合规要求审计留痕,B2B SaaS 要做多租户权限,移动端和 Web 端又要统一登录体验,安全团队还要补 MFA、Passkey、设备信任和特权账号治理。很多团队的问题不是“不懂认证”,而是“知道概念,却搭不出一套能长期演进的身份体系”。
这个系列要解决的正是这些工程问题。它不会停留在“什么是 OAuth 2.0”这种入门层面,而是从协议、令牌、权限模型、身份平台、审计合规和迁移事故几个维度,把现代身份与访问控制体系拆开来讲清楚。
适合谁看
- 后端工程师:正在做登录、令牌、权限和 API 安全设计。
- 架构师:要给企业系统、SaaS 平台或平台工程体系设计统一身份底座。
- 安全工程师:关注 MFA、零信任、服务身份、PAM、审计与账号治理。
- 技术负责人:需要在自建和采购身份平台之间做选型。
推荐阅读路径
- 只想搞懂现代登录体系 → 02 → 03 → 06 → 08
- 要接企业客户 SSO → 02 → 04 → 05 → 17
- 要做 B2B SaaS 权限系统 → 11 → 12 → 13 → 14 → 18
- 要做平台治理与合规 → 10 → 16 → 19 → 20
目录
第一部分:协议与身份基础
- IAM 全景:为什么这是高价值赛道
- 企业单点登录:OIDC 与现代 SSO
- OAuth 2.1 与 PKCE:现代授权主路径
- SAML 还值得学吗:企业遗留 SSO 的现实世界
- SCIM 与账号生命周期:开通、变更、离职自动化
第二部分:认证强度与令牌治理
- JWT、JWS、JWE、JWKS 一次讲透
- Session、Refresh Token 与吊销体系
- MFA、TOTP、WebAuthn、Passkey 工程实践
- 风险感知认证:设备信任、异常登录与挑战升级
- 服务身份:mTLS、SPIFFE/SPIRE 与 Workload Identity
第三部分:授权与权限系统
第四部分:平台、产品与治理
- Keycloak 工程拆解:Realm、Client、Flow 与扩展机制
- 自建还是采购:Keycloak、Auth0、Entra、Okta 对比
- CIAM 架构:面向 B2B / B2C SaaS 的身份平台
- PAM、IGA 与审计合规
- 身份系统迁移与事故响应
与现有文章的关系
如果你已经看过下面这些文章,可以把它们视为前置背景:
这些旧文偏“总览”和“架构选型”;新系列会把重点放到协议细节、工程坑点、平台实现和生产治理上。
同主题继续阅读
把当前热点继续串成多页阅读,而不是停在单篇消费。
【身份与访问控制工程】IAM 全景:为什么这是高价值赛道
身份与访问控制从一个登录框演进为横跨合规、运维、平台工程和安全的系统工程。本文从一家 SaaS 公司被大客户卡在 SOC 2 合规的真实触发器切入,拆解 IAM、CIAM、IGA、PAM、SSO、目录服务六个子领域的边界,分析 Okta、Entra ID、Auth0、Keycloak、Ping 等主流厂商的定位与落差,给出工程师视角的介入判据与选型路径。
【身份与访问控制工程】企业单点登录:OIDC 与现代 SSO
B2B 大客户的安全团队只认自家 Okta,集团五条产品线要统一账号,合规团队要求所有入口都可审计——这些需求最终都落在同一个协议上:OpenID Connect。本文从一个真实的商业谈判场景切入,系统拆解 OIDC 在 OAuth 2.0 之上增加了什么、授权码流程的每一个字段为什么存在、企业集成里最常见的六类实现坑,以及 Discovery、JWKS、Dynamic Client Registration、mTLS Client Auth 的工程细节,帮助你把 SSO 从 demo 做到可以放进 SOC 2 审计报告里。
【身份与访问控制工程】Keycloak 工程拆解:Realm、Client、Flow 与扩展机制
从 Quarkus runtime、Infinispan 缓存、数据库 schema,到 Authentication Flow 引擎、SPI 扩展点、multi-site 部署与常见工程坑点,拆解 Keycloak 的真实工程形态与选型边界。
【身份与访问控制工程】CIAM 架构:面向 B2B / B2C SaaS 的身份平台
系统梳理 CIAM(Customer Identity and Access Management)的场景差异、数据模型、隐私合规与工程坑点,覆盖 B2C 社交登录、B2B 企业 SSO/SCIM、B2B2C 组织模型,以及全球多区域部署与选型建议。