帐号中心讨论稿

会议讨论 u9创新开发 帐号中心

问题

u9目前部署在外网对外开放的应用已经有u9service，u9hub，微信企业号应用。相信以后还会更多。在这种情况下我们面对或即将面对的问题如下：

1. 每个系统都有自己独立的用户管理体系。用户在使用这些系统的时候需多次注册，不同系统间切换需要输入若干次密码。
2. 同一用户无法在不同系统间进行数据交互，如果想要交互也缺乏认证机制。

解决问题

• 统一用户注册
• 统一登录界面（接口）
• 用户认证
• 用户动作记录
• 单点登录

简单的规划了帐号中心的功能

在上面的功能图中，登录和登出是最主要的功能，和我们业务里的其它应用直接打交道，需要提供相应的API。其它功能都在账号中心的体系里完成，一般来说不需要提供API，只需要提供相应的页面供用户操作就可以了。

单点登录（Single Sign-On）
账号中心最重要工作就是实现单点登录，暂定采用的是标准CAS协议实现。时序图如下

登出时序图

讨论

• 单点登录中的ticket同时可作为不同应用之间接口调用的凭证
• 记录用户动作的action-log纯粹记录流水信息，动作因为不同网站不同，暂时为了解耦，对动作不做规范，由不同网站调用api时候做明文传入
• 账号中心不是用户中心，所以不准备去处理和用户资料相关的东西，只记录与登录认证相关的信息。那么问题来了，对网站既有帐号如何处理。思考了几种。
  第一种（消极）：完全不处理从头开始，既有帐号就放在那里网站保留原有帐号，用户可以用原有帐号继续使用本网站，网站同时支持帐号中心的统一帐号
  第二种（激进）：帐号中心上线后，强制用户替换统一帐号，划定时限不再支持原有帐号。一劳永逸。也可能伤筋动骨。
  第三种（中庸）：帐号中心上线后，为用户提供绑定原有帐号功能。惰性用户可能不会使用统一帐号，需要适当引导。