系统概览

企业统一身份认证中心（IAM）提供单点登录（SSO）、用户生命周期管理以及跨应用权限控制。本系统基于 OAuth 2.0 与 OIDC 标准，作为企业内部集中的身份提供商（IdP）。

核心功能模块解析如下：

1. 认证与账号管理

提供安全可靠的基础认证机制。

• 多协议单点登录 (SSO)：用户一次登录即可访问所有接入应用。内置完整的会话刷新与清理机制。
• 会话管理：管理员可实时查看全平台在线设备，支持一键踢下线或撤销单点会话。
• 企业微信集成：支持企业微信登录与用户身份映射，统一接入 IAM 登录体系。

2. OAuth/OIDC 提供商

系统可作为 OIDC/OAuth 提供商（支持 Authorization Code 流及 PKCE），支持灵活接入内部与第三方应用。

• 标准端点发现：提供标准的 .well-known/openid-configuration 接口，方便外部客户端（如 Spring Security、NextAuth）快速配置与接入。
• 应用访问控制 (ACL)：支持按应用配置部门与人员准入白名单，拦截未授权请求并返回 403 响应。
• 令牌生命周期配置：支持针对各接入应用独立配置访问令牌 (Access Token) 的有效时长。

3. 角色与权限管理 (RBAC)

提供跨应用统一验证与分配的权限管控方案。

• 系统管理员角色：管理 IAM 系统本身的基础操作权限。
• 平台级权限边界：当前聚焦平台管理员与普通用户两类角色，优先保障控制台与认证主链路稳定。
• 访问控制策略：支持针对 OAuth 客户端配置白名单与令牌策略，控制谁可以访问哪些接入应用。

4. 会话与安全控制

围绕登录态、授权与客户端安全策略构建核心防护能力。

• 统一会话控制：集中管理用户登录态，支持会话查看、失效与踢下线。
• 客户端准入控制：支持对 OAuth 客户端配置用户白名单、部门白名单和令牌有效期。
• 标准协议能力：基于 OAuth 2.0 / OIDC 标准提供授权、令牌签发与发现端点，便于对接外部系统。