认证与 IAM 全景知识图谱

Session、JWT、OAuth2、OIDC、SSO、RBAC / ABAC、租户隔离、凭证治理与身份平台建设 (2025-2026)

一、身份与权限分层架构

Layer 1
身份凭证
密码/证书/密钥

→

Layer 2
认证协议
Session/JWT/OIDC

→

Layer 3
授权模型
RBAC/ABAC/ReBAC

→

Layer 4
身份平台
SSO/MFA/目录

→

Layer 5
治理与审计
租户/审计/合规

上层	依赖的下层	关系说明
认证	身份凭证	没有稳定的密码策略、密钥轮换、证书签发和设备信任，后续任何认证协议都只是纸面安全。
授权	认证结果	“你是谁”和“你能做什么”是两件事。认证做得再强，权限边界混乱仍然会导致越权和横向访问。
单点登录	认证协议 + 目录系统	SSO 不只是跳转登录页，而是统一身份源、会话边界、信任关系和生命周期管理。
租户隔离	授权模型	多租户系统的真正难点往往不是登录，而是用户、角色、资源和数据如何在租户边界内可靠隔离。
审计合规	全链路身份上下文	没有身份、角色、设备、来源和操作记录的贯通，很多权限事故只能靠事后猜测。
身份平台化	工程与治理	IAM 最难的部分，不是协议名词，而是把账号、权限、审批、回收和审计做成组织级稳定能力。

二、身份与 IAM 发展时间线

1990s - LDAP / AD

企业开始把用户目录、组织架构和集中式身份源做成基础设施。

2000s - SSO / SAML

浏览器企业应用兴起后，跨系统单点登录和身份联邦逐步普及。

2010s - OAuth2 / OpenID Connect

移动应用、开放平台和第三方授权推动现代身份协议成为主流。

2015 之后 - MFA 与零信任增强

只靠用户名密码越来越不够，设备、位置、风险评分和多因素认证被更多系统引入。

2020s - 云 IAM / 平台身份治理

云厂商、SaaS 与内部平台越来越依赖统一身份、临时凭证和细粒度授权模型。

2023-2025 - 身份上下文化

身份不再只是“用户登录成功”，而是与设备、工作负载、租户、运行环境和审计策略一起被统一建模。

三、核心技术详解

3.1 Session、Cookie 与浏览器身份

Session 的本质

服务端持有会话状态，客户端通常只持有 Session ID。优点是可控、易失效；代价是会话存储、扩缩容和跨节点一致性。

Cookie 不是认证协议

Cookie 只是浏览器携带状态的方式。真正的风险在于 HttpOnly、Secure、SameSite 和跨域策略配置是否正确。

经验原则

对浏览器 Web 应用来说，很多安全问题不是“要不要 JWT”，而是会话边界、CSRF、防盗用和注销链路是否设计完整。

3.2 JWT、OAuth2 与 OIDC

JWT 是令牌格式，不是万能认证方案

JWT 适合做可自包含的声明载体，但一旦写入过多状态、过长过期时间或缺少撤销策略，就会放大风险和运维难度。

OAuth2 解决什么

解决“授权委托”，即让第三方在有限范围内代表用户访问资源。它重点关心角色、授权范围和令牌生命周期。

OIDC 又补了什么

OIDC 建立在 OAuth2 之上，补齐了身份层语义，让“我是谁”和“我被授权访问什么”可以分层处理。

3.3 SSO、目录与身份联邦

SSO 的工程价值

统一入口、减少重复登录、集中管控账号生命周期、降低离职残留账号和密码分散管理风险。

身份联邦

当多个系统或多个组织之间需要互信时，身份联邦比“每套系统自己建一份账号体系”更可持续。

真正难点

不是协议跳转，而是目录同步、角色映射、审批流、会话失效、退出登录和跨系统审计是否贯通。

3.4 授权模型与租户隔离

RBAC

角色驱动授权，易理解、易维护，适合大部分企业后台与平台系统。

ABAC / ReBAC

当权限依赖资源属性、组织层级、区域、数据分类或关系图谱时，ABAC / ReBAC 往往比纯 RBAC 更贴近真实业务。

租户边界

多租户权限的难点在于“同一角色在不同租户下的作用不同”，以及资源查询、缓存、导出和审计都不能越界。

3.5 密钥、凭证与审计

机器身份和人类身份都要管

用户密码、API Key、数据库凭证、工作负载令牌、证书和云临时凭证都属于 IAM 范畴，只是载体不同。

核心动作

最小权限、定期轮换、短期凭证、审批发放、撤销路径、泄露检测和全链路审计。

经验原则

最危险的不是“没有权限系统”，而是系统里长期存在一批没人知道是谁在用、也没人敢删的高权限凭证。

四、身份与 IAM 生态全景

4.1 常见工具与平台

类别	常见项目 / 服务	定位	适用场景	关键考量
身份提供商	Keycloak / Auth0 / Okta / Entra ID	认证、SSO、用户目录	统一登录、B2B、内部平台	扩展性、审计、协议兼容
目录系统	AD / LDAP / FreeIPA	账号源与组织结构	企业内网、统一身份源	同步方式、组织映射、遗留兼容
授权引擎	OPA / Cedar / Casbin / Zanzibar 类模型	策略计算与权限判断	细粒度授权、平台治理	策略复杂度、性能、可解释性
Secrets 管理	Vault / AWS Secrets Manager / KMS	密钥与凭证生命周期	应用凭证、证书、轮换	轮换能力、审批流、审计
多因素认证	Authenticator / FIDO2 / WebAuthn	补强登录安全	高风险后台、管理系统	用户体验、恢复机制、设备兼容
审计与治理	SIEM / IAM Audit / Access Review	留痕、复盘、权限回收	合规、敏感系统、零信任治理	上下文完整性、回收效率、告警质量

4.2 常见身份场景

用户登录

浏览器会话、MFA、设备识别、异常登录告警
重点是登录体验与风险控制平衡

开放授权

第三方应用、委托访问、Scope 管理、令牌回收
重点是授权边界与用户可见性

内部平台权限

角色、审批、环境权限、生产操作留痕
重点是最小权限与回收机制

机器身份

工作负载令牌、服务账号、API Key、证书
重点是短期凭证和自动轮换

五、关键技术路线对比

5.1 Session vs JWT

Session

优点: 易撤销、服务端可控、适合浏览器登录
优点: 权限变更和注销更直接
缺点: 依赖集中会话存储或粘性会话
缺点: 跨服务共享会话需要额外设计
适合: Web 后台、企业系统、同域应用

JWT

优点: 自包含、跨服务传递方便
优点: 与开放授权、API 调用更容易组合
缺点: 撤销和即时失效更难
缺点: 滥放声明和超长过期时间风险高
适合: API、移动端、服务间身份传递

5.2 RBAC vs ABAC

方案	强项	代价	适合场景
RBAC	易理解、易配置、易审计	复杂场景下角色容易膨胀	大多数后台系统、组织权限
ABAC	可表达资源属性与上下文条件	策略设计和解释成本更高	多租户、数据分类、区域化策略
ReBAC	表达“谁和谁是什么关系”更自然	模型与实现复杂度明显更高	协作平台、文档空间、共享资源

5.3 OAuth2 / OIDC / SAML

协议	关注点	适用场景	关键提醒
OAuth2	授权委托	开放平台、第三方访问	它解决的是授权，不是完整身份语义
OIDC	现代身份认证	Web / App / SSO	适合把认证与 OAuth2 流程统一化
SAML	企业身份联邦	传统企业系统、老牌 SaaS	存量多，但新系统一般更倾向 OIDC

六、生产级治理实践

6.1 最小必备动作

最小权限

人和机器都应默认最小授权
避免“先给管理员，后面再收”成为常态

权限回收

入转调离、项目结束、租户变更都要触发回收
没有回收机制的审批流只会持续堆高风险

审计留痕

登录、授权、提权、失败尝试、敏感操作都要可追踪
没有上下文的审计日志很难支持复盘

凭证轮换

密码、API Key、证书、数据库凭证都需要生命周期管理
长期静态高权限凭证通常是重大隐患

6.2 经验原则

把身份当系统主数据

用户、组织、租户、角色、资源和工作负载身份都应该有清晰主源和同步机制，不能在每个系统里各自生长。

授权判断要贴着真实资源边界

权限系统如果只停留在“菜单可见不可见”，而没有覆盖 API、数据导出、运维操作和批处理任务，风险会长期外溢。

身份治理是持续工程

IAM 不是一次性上线项目，而是随着组织结构、业务边界、云资源和合规要求不断演进的长期能力。

七、学习路线

路线一: 应用研发的认证补课路线

适合: Web / API 开发者，想把“登录能用”升级到“身份边界正确”

Cookie / Session

→

JWT / Token

→

OAuth2 / OIDC

→

RBAC

→

审计与回收

周期: 2-4 个月

前置: 基础 Web / API 开发经验

输出: 能设计中小型系统的认证与权限边界

关键: 先分清认证和授权，再选技术

路线二: 平台 IAM / 企业身份治理路线

适合: 平台团队、安全团队、开放平台负责人

SSO / 目录

→

OAuth2 / OIDC

→

ABAC / 策略引擎

→

Secrets / KMS

→

审计与治理

周期: 6-12 个月

前置: 系统治理和安全基础更佳

输出: 能建设统一身份和权限平台

关键: 把账号、授权、回收和审计视作一体

八、高频认知误区

误区: 认证做完了，权限自然就安全

认证和授权是两套问题，很多越权事故出在后者
“登录成功”不代表“资源边界正确”

误区: JWT 更现代，所以一定更好

JWT 适合的场景很多，但撤销、过期和声明治理同样是代价
浏览器会话场景下，Session 常常更稳更可控

误区: RBAC 足够表达所有权限

一旦涉及租户、资源属性、数据范围和关系图谱，纯角色模型很快会膨胀
不是 RBAC 错，而是业务边界变了

误区: 高权限账号留着总有一天会用到

长期静态高权限账号是很多事故和内控问题的根源
临时授权、审批留痕和回收机制比“先保留”更健康

九、2025-2026 趋势与展望

确定性趋势:

身份上下文化: 用户、设备、网络、租户和工作负载上下文会越来越多地参与授权决策。

机器身份治理增强: 工作负载令牌、服务账号和短期凭证的重要性会持续提升，不再只关注人类账号。

权限治理平台化: 审批、回收、审计和访问评审会更多沉淀为组织级标准能力。

值得关注:

细粒度授权引擎: 随着多租户和平台化增强，策略引擎和关系型授权模型会更常见。

Passkey / WebAuthn: 减少密码依赖的无密码登录会继续扩张，但组织级落地仍需兼顾恢复和兼容性。

临时凭证与零信任接入: 长期静态凭证会继续被更短周期、更强审计的访问方式替代。

需要警惕:

协议理解停留在名词层: OAuth2、OIDC、SAML 名词很多，但真正风险通常来自实现和边界错误。

身份系统碎片化: 每个产品自己建一套账号和权限，最终会让治理、审计和回收全面失控。

只管登录不管生命周期: 入转调离、租户变更、项目结束和权限回收缺失，会持续积累高风险残留权限。

总结:
认证与 IAM 的本质，不是“让用户能登录”，而是让人和机器以正确的身份、在正确的边界内、对正确的资源做正确的事，并留下可审计的痕迹。

给不同角色的建议:
- 应用工程师: 先把认证、授权、会话边界和权限校验分清楚，再讨论具体协议选型
- 平台 / 安全团队: 优先治理账号生命周期、机器凭证和权限回收，而不是只堆登录能力
- 技术负责人: 身份系统一旦碎片化，后续治理成本会非常高，越早统一主源和边界越好

一句话判断这张图的价值:
它回答的不是“认证协议有哪些”，而是“一个组织怎样把身份、权限和审计做成长期稳定能力”。