身份与访问控制工程

身份系统很少在系统上线第一天就成为瓶颈，但它经常在业务做大之后突然变成全局卡点：企业客户要接入 SSO，合规要求审计留痕，B2B SaaS 要做多租户权限，移动端和 Web 端又要统一登录体验，安全团队还要补 MFA、Passkey、设备信任和特权账号治理。很多团队的问题不是“不懂认证”，而是“知道概念，却搭不出一套能长期演进的身份体系”。

这个系列共 20 篇，从协议、令牌、权限模型、身份平台、审计合规和迁移事故几个维度，把现代身份与访问控制体系拆开来讲清楚。不会停留在”什么是 OAuth 2.0”这种入门层面——每篇都包含真实企业场景、协议拆解、工程坑点和选型建议。

系列状态：已完成（2026-06-22）。20 篇全部可读。

适合谁看

• 后端工程师：正在做登录、令牌、权限和 API 安全设计。
• 架构师：要给企业系统、SaaS 平台或平台工程体系设计统一身份底座。
• 安全工程师：关注 MFA、零信任、服务身份、PAM、审计与账号治理。
• 技术负责人：需要在自建和采购身份平台之间做选型。

推荐阅读路径

• 只想搞懂现代登录体系 → 02 → 03 → 06 → 08
• 要接企业客户 SSO → 02 → 04 → 05 → 17
• 要做 B2B SaaS 权限系统 → 11 → 12 → 13 → 14 → 18
• 要做平台治理与合规 → 10 → 16 → 19 → 20

目录

第一部分：协议与身份基础

1. IAM 全景：为什么这是高价值赛道
2. 企业单点登录：OIDC 与现代 SSO
3. OAuth 2.1 与 PKCE：现代授权主路径
4. SAML 还值得学吗：企业遗留 SSO 的现实世界
5. SCIM 与账号生命周期：开通、变更、离职自动化

第二部分：认证强度与令牌治理

6. JWT、JWS、JWE、JWKS 一次讲透
7. Session、Refresh Token 与吊销体系
8. MFA、TOTP、WebAuthn、Passkey 工程实践
9. 风险感知认证：设备信任、异常登录与挑战升级
10. 服务身份：mTLS、SPIFFE/SPIRE 与 Workload Identity

第三部分：授权与权限系统

11. RBAC、ABAC、ReBAC：权限模型怎么选
12. Zanzibar 风格权限系统
13. OPA、Cedar 与策略引擎落地
14. B2B SaaS 多租户权限设计
15. API Gateway、BFF 与边界认证授权

第四部分：平台、产品与治理

16. Keycloak 工程拆解：Realm、Client、Flow 与扩展机制
17. 自建还是采购：Keycloak、Auth0、Entra、Okta 对比
18. CIAM 架构：面向 B2B / B2C SaaS 的身份平台
19. PAM、IGA 与审计合规
20. 身份系统迁移与事故响应

与现有文章的关系

如果你已经看过下面这些文章，可以把它们视为前置背景：

• 认证架构：从 Session 到 JWT 到 OIDC
• 授权架构：RBAC、ABAC 与策略引擎
• 零信任架构：不信任网络边界的安全模型
• API 安全架构

这些旧文偏“总览”和“架构选型”；新系列会把重点放到协议细节、工程坑点、平台实现和生产治理上。