Authing身份云技术博客，统一身份认证平台资源分享-Authing身份云

在上一篇文章中（OIDC & OAuth2.0 协议及其授权模式详解｜认证协议最佳实践系列【1】），我们整体介绍 OIDC / OAuth2.0 协议，本次我们将重点围绕授权码模式（Authorization Code）以及接入 Authing 进行介绍，从而让你的系统快速具备接入用户认证的标准体系。接入 Authing 后的优势：在整个 Authing 的身份源中，已经包含了社会化登录方式微信、微博、QQ、FB、TW ...等等，企业登录方式飞书、钉钉、企微、AD 等等，只要你完成了接入 Authing 就意味着你的业务系统具备了这些能力。 01 授权码模式（Authorization Code） 1.1 整体流程整体上，有以下流程：在你的应用中，让用户访问登录链接，浏览器跳转到 Authing，用户在 Authing 完成认证。浏览器接收到一个从 Authing 服务器发来的授权码。浏览器通过重定向将授权码发送到你的应用后端。你的应用服务将授权码发送到 Authing 获取 AccessToken 和 IdToken，如果需要，还会返回 refresh token。你的应用后端现在知道了用户的身份，后续可以保存用户信息，重定向到前端其他页面，使用 AccessToken 调用资源方的其他 API 等等。流程图如下： 1.2 准备接入在 Authing 创建应用及配置创建应用：配置登录回调和登出回调，配置为你实际项目的地址，我们在这里配置 localhost 用于测试。若你想匹配多个登录/登出回调，可以使用 ‘*’ 号进行通配，登录/登出回调可以是如下格式：在协议配置中，我们勾选 authorization_code 并且使用 code 作为返回类型，如下图所示： 1.3 接入测试 01 所需调用接口列表   GET${host}/oidc/auth 发起登录（拼接你的发起登录地址） POST${host}/oidc/token 获取 Token GET${host}/session/me 获取用户信息 POST${host}/oidc/token/introspection 校验 Token POST${host}/oidc/token 刷新 Token POST${host}/oidc/revocation 吊销 Token GET${host}/session/end 登出   02 Run in Postman 以下要介绍的接口可以通过我们的在线 postman collection 自行 fork 体验。 03 发起登录   GET${host}/oidc/auth 这是基于浏览器的 OIDC 的起点，请求对用户进行身份验证，并会在验证成功后返回授权码到您所指定的 redirect_uri。拼接发起登录地址（浏览器中打开）： https://{host}/oidc/auth?scope=openid+profile+email+phone+username&redirect_uri={redirect_uri}&response_type=code&client_id={应用 ID}&state={state} 如您需要额外获取 refresh_token 则请求格式为： https://{host}/oidc/auth? scope=openid+profile+offline_access+username+email+phone&redirect_uri=http://localhost:8080/&response_type=code&client_id={应用 ID}&prompt=consent&state={state} 点此体验： https://oidc-authorization-code.authing.cn/oidc/auth?scope=openid+profile+offline_access+username+email+phone&redirect_uri=http://localhost:8080/&response_type=code&prompt=consent&nonce=054d3c0e-9df9-46f2-a8fa-a7f479032660&client_id=63eb4585156d977101dd3750&state=1676366724 参数说明： 04 获取 Token   POST${host}/oidc/token   用户在 Authing 侧完成登录操作后， Authing 会将生成的 code 作为参数回调到 redirect_uri 地址，此时通过 code 换 token 接口即可拿到对应的访问令牌 access_token 。   请求参数请求事例   curl --location --request POST 'https://{host}/oidc/token' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data-urlencode 'client_id={应用ID}' \ --data-urlencode 'client_secret={应用密钥}' \ --data-urlencode 'grant_type=authorization_code' \ --data-urlencode 'redirect_uri={发起登录时指定的 redirect_uri}' \ --data-urlencode 'code={/oidc/auth 返回的code}'   响应示例 (成功) { "scope": "openid username email phone offline_access profile", "token_type": "Bearer", "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6ImVtSzBGbVRIa0xlQWFjeS1YWEpVT3J6SzkxV243TkdoNGFlYUVlSjVQOUUifQ.eyJzdWIiOiI2M2ViNTNjNDQxYTVjMmYwNWYyNGJiMDMiLCJhdWQiOiI2M2ViNDU4NTE1NmQ5NzcxMDFkZDM3NTAiLCJzY29wZSI6Im9wZW5pZCB1c2VybmFtZSBlbWFpbCBwaG9uZSBvZmZsaW5lX2FjY2VzcyBwcm9maWxlIiwiaWF0IjoxNjc2MzY2OTE0LCJleHAiOjE2Nzc1NzY1MTQsImp0aSI6ImVmVU04enNrbl92LXYzeXZfbDVHRV9fQ2JEY0NNZDhEVDFnYVI0bHRqcHAiLCJpc3MiOiJodHRwczovL29pZGMtYXV0aG9yaXphdGlvbi1jb2RlLmF1dGhpbmcuY24vb2lkYyJ9.E3gAYzCQbJmrtM5zl91OPHm2YPnDxzRejw75oVMF1tLqCS0trj6CSBxyxP3Z9t6Eb_oAu1f_3I6XC3KC-l0DTM6q7_R2rnW4LWlik2rDCLuGpG0FqFScLZhwafmrPsVn93yaBQfEEoaLviqKhj3DgOymKqHZzFG3taaz2k_pWsxt4z97DtKjRTiqyMvcSfHsVrjSKELaC-5S_PHPWcQ70iX85IwUb6i5ldZGxYmODCvChNC9p4D4IOT3atvyEHgBTmjA9ZKI-T7hCVHSO91WZY3l1p4iWdi6KdP1oMGTy8WbmUHG9SiWO1Efh_9I5ZpRzVNWXINLv-lZ0d2aZKjg2w", "expires_in": 1209600, "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.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.GweoWBCEyHQGP6G9ohbfBMUMALlbZMM9hRAes1De7BM", "refresh_token": "KanvCEmonS_FgCRdFftOCwka2f8Qjj4tcsIfJF-VC1W" }   响应示例 (失败)   { "error": "invalid_grant", "error_description": "授权码无效或已过期" }   05 通过 AccessToken 获取用户信息   GET${host}/session/me 获取用户信息   此端点是 OIDC 获取用户端点，可以通过 AccessToken 获取有关当前登录用户的信息。   请求参数请求示例   curl --location --request GET 'https://{host}/oidc/me?access_token={access_token}'   响应示例 (成功)   { "name": null, "given_name": null, "middle_name": null, "family_name": null, "nickname": null, "preferred_username": null, "profile": null, "picture": "https://files.authing.co/authing-console/default-user-avatar.png", "website": null, "birthdate": null, "gender": "U", "zoneinfo": null, "locale": null, "updated_at": "2023-02-14T09:26:28.068Z", "email": "xxx@authing.cn", "email_verified": true, "phone_number": "185xxxx9995", "phone_number_verified": true, "username": "neo", "sub": "63eb53c441a5c2f05f24bb03" }   响应示例 (失败)   { "error": "invalid_grant", "error_description": "Access Token 无效" }   06 校验 Token   POST${host}/oidc/token/introspection   此端点接受 access_token、id_token、refresh_token ，并返回一个布尔值，指示它是否处于活动状态。如果令牌处于活动状态，还将返回有关令牌的其他数据。如果 token 无效、过期或被吊销，则认为它处于非活动状态。   1.验证 Token 分为两种方式：本地验证与使用 Authing 在线验证。我们建议在本地验证 JWT Token，因为可以节省你的服务器带宽并加快验证速度。你也可以选择将 Token 发送到 Authing 的验证接口由 Authing 进行验证并返回结果，但这样会造成网络延迟，而且在网络拥塞时可能会有慢速请求。 access_token 可以使用 RS256 签名算法或 HS256 签名算法进行签名。下面是这两种签名算法的区别： RS256 是使用RSA算法的一种数字签名算法，它使用公钥/私钥对来加密和验证信息。RS256 签名生成的令牌比 HS256 签名生成的令牌更加安全，因为使用RSA密钥对进行签名可以提供更高的保护级别。使用RS256签名算法的令牌可以使用公钥进行验证，公钥可以通过 JWK 端点获取。 HS256 是使用对称密钥的一种数字签名算法。它使用同一个密钥进行签名和验证。HS256 签名算法在性能方面比 RS256 签名算法更快，因为它使用的是对称密钥，而不是使用 RSA 公钥/私钥对来签名和验证。使用 HS256签名算法的令牌可以通过 shared secret （应用密钥）进行验证。在实际应用中，RS256算法更加安全，但同时也更加消耗资源，如果系统需要高性能，可以选择 HS256 签名算法。以下是本地验证和在线验证的优劣对比： 2.在线验证需要注意的是，id_token 目前无法在线校验，因为 id_token 只是一个标识，若需要校验 id_token 则需要您在离线自行校验。   请求参数请求示例 curl --location --request POST 'https://{host}/oidc/token/introspection' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data-urlencode 'client_id={应用ID}' \ --data-urlencode 'client_secret={应用密钥}' \ --data-urlencode 'token={ token }' \ --data-urlencode 'token_type_hint={token_type_hint}'   校验 access_token 响应示例（校验通过）   { "active": true, "sub": "63eb53c441a5c2f05f24bb03", "client_id": "63eb4585156d977101dd3750", "exp": 1677648467, "iat": 1676438867, "iss": "https://oidc-authorization-code.authing.cn/oidc", "jti": "ObgavGBUocr1wsrUvtDLHmuFSgoebxsiOY4JNRqIhaQ", "scope": "offline_access username profile openid phone email", "token_type": "Bearer" } 校验 access_token 响应示例（校验未通过） { "active": false } 校验 refresh_token 响应示例 (校验通过)   { "active": true, "sub": "63eb53c441a5c2f05f24bb03", "client_id": "63eb4585156d977101dd3750", "exp": 1679030867, "iat": 1676438867, "iss": "https://oidc-authorization-code.authing.cn/oidc", "jti": "6F2TO1v1YZ1_N7I3jXYHjK-vZzKtlD0IiP5KPoUFUCQ", "scope": "offline_access username profile openid phone email" }   校验 refresh_token 响应示例（校验未通过）   { "active": false }   3.离线校验   可参考文档：离线校验（文档链接：https://docs.authing.cn/v2/guides/faqs/how-to-validate-user-token.html# ）我们简单说下，若您使用离线校验应该对 token 进行如下规则的校验： 1.格式校验 - 校验 token 格式是否是 JWT 格式 2.类型校验 - 校验 token 是否是目标 token 类型，比如 access_token 、id_token、refresh_token 3.issuer 校验 - 校验 token 是否为信赖的 issuer 颁发 4.签名校验 - 校验 token 签名是否由 issuer 签发，防止伪造 5.时间校验 - 校验 token 是否在有效期内 6.claims 校验 - 是否符合与预期的一致以上 6 点均校验通过，我们才能认为 token 是有效且合法的。下面是一个示例 Java 代码，可以用于在本地校验 OIDC RS256 和 HS256 签发的 access_token 。 import com.nimbusds.jose.JWSObject; import com.nimbusds.jwt.JWTClaimsSet; import com.nimbusds.jwt.SignedJWT; import java.net.URL; import java.text.ParseException; import java.util.Date; public class OIDCValidator { private static final String ISSUER = "https://your-issuer.com"; private static final String AUDIENCE = "your-client-id"; private final URL jwkUrl; public OIDCValidator(final URL jwkUrl) { this.jwkUrl = jwkUrl; } public JWTClaimsSet validateToken(final String accessToken) throws ParseException { final SignedJWT signedJWT = SignedJWT.parse(accessToken); if (signedJWT == null) { throw new RuntimeException("Access token is null or empty"); } final JWTClaimsSet claims = signedJWT.getJWTClaimsSet(); if (claims == null) { throw new RuntimeException("No claims present in the access token"); } if (!claims.getIssuer().equals(ISSUER)) { throw new RuntimeException("Invalid issuer in access token"); } if (!claims.getAudience().contains(AUDIENCE)) { throw new RuntimeException("Invalid audience in access token"); } final JWSObject jwsObject = signedJWT.getJWSObject(); if (jwsObject == null) { throw new RuntimeException("No JWS object found in the access token"); } // Fetch the JWKs from the JWK set URL final JWKSet jwkSet = JWKSet.load(jwkUrl); final JWK jwk = jwkSet.getKeyByKeyId(jwsObject.getHeader().getKeyID()); if (jwk == null) { throw new RuntimeException("No JWK found for the access token"); } if (!jwsObject.verify(jwk.getKey())) { throw new RuntimeException("Invalid signature in access token"); } if (claims.getExpirationTime() == null || claims.getExpirationTime().before(new Date())) { throw new RuntimeException("Expired access token"); } return claims; } } 这段代码使用 Nimbus JOSE+JWT 库来解析和验证 JWT token。它使用指定的 issuer 和 audience 值对access_token 进行验证，并验证 JWT 中 claims 的格式、类型、签名、有效期和 issuer。如果发生任何验证错误，则将抛出 RuntimeException。使用时需要传入对应的 JWK URL 和 access_token 进行调用，例如：   这个示例只校验了RS256和HS256签名算法。 07 刷新 Token   POST${host}/oidc/token   此功能用于用户 token 的刷新操作，在 token 获取阶段需要先获取到 refresh_token 。   请求参数请求示例   curl --location --request POST 'https://{host}/oidc/token' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data-urlencode 'client_id={应用ID}' \ --data-urlencode 'client_secret={应用密钥}' \ --data-urlencode 'refresh_token={刷新令牌}' \ --data-urlencode 'grant_type=refresh_token'   响应示例(成功) { "refresh_token": "6F2TO1v1YZ1_N7I3jXYHjK-vZzKtlD0IiP5KPoUFUCQ", "scope": "offline_access username profile openid phone email", "token_type": "Bearer", "access_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJSUzI1NiIsImtpZCI6ImVtSzBGbVRIa0xlQWFjeS1YWEpVT3J6SzkxV243TkdoNGFlYUVlSjVQOUUifQ.eyJzdWIiOiI2M2ViNTNjNDQxYTVjMmYwNWYyNGJiMDMiLCJhdWQiOiI2M2ViNDU4NTE1NmQ5NzcxMDFkZDM3NTAiLCJzY29wZSI6Im9mZmxpbmVfYWNjZXNzIHVzZXJuYW1lIHByb2ZpbGUgb3BlbmlkIHBob25lIGVtYWlsIiwiaWF0IjoxNjc2NDQ0MjY4LCJleHAiOjE2Nzc2NTM4NjgsImp0aSI6IkEtZUlQYkJ5N3lJLTliUmp1RnJHeXNCSXdjbWtOUl9WalpYODB2aU05VFkiLCJpc3MiOiJodHRwczovL29pZGMtYXV0aG9yaXphdGlvbi1jb2RlLmF1dGhpbmcuY24vb2lkYyJ9.Kk3jSK5BSUEDVTQMdMAdG5cBCxZt31vQiD-XYHNA84Gd3Mo8eDLcQpjMEzQ8HJ4_b9IgMOz5ydXz0zAQ6AjLMW3Rl49qhTGDB7Kq7tHTFmDO8itoO2LQTCLPCPtP3TkoOgptlFD_sd32nefH-HojNhuqwKw469Byw3xnW5xEs3wSuOoUdHwR2n9j1T1Zgp3e90xmBjbtbofQE1z0IWtCnrfJ9ujWsKXoN_7OAXbCTa-Ak_DhgLHU7xutQaaBOgD28lLLT5xclgBWfv7Leyx_kBnVGT5Jvo1tfA6AUEp6wJO4GUBzsijLefI04VDzBGypNuFJlw_jOhSp-SWxJjQSwQ", "expires_in": 1209600, "id_token": "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.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.DGoJrzkgti44zw-MotVM1KpLxbJTzc5pfh-xYun_xDQ" } 响应示例（失败）   { "error": "invalid_grant", "error_description": "Refresh Token 无效或已过期" }   08 撤回 Token   POST${host}/oidc/token/revocation   撤销 access_token / refresh_token   请求参数请求示例   curl --location --request POST 'https://{host}/oidc/token/revocation' \ --header 'Content-Type: application/x-www-form-urlencoded' \ --data-urlencode 'client_id={应用ID}' \ --data-urlencode 'client_secret={应用密钥}' \ --data-urlencode 'token= {token}' \ --data-urlencode 'token_type_hint={token_type_hint}'   响应示例（成功）   HTTP 200 OK   响应示例（失败）   { "error": "xxxx", "error_description": "xxxx" }   09 用户登出   GET${host}/oidc/session/end   使用此操作通过删除用户的浏览器会话来注销用户。 post_logout_redirect_uri 可以指定在执行注销后重定向的地址。否则，浏览器将重定向到默认页面   请求参数请求示例 (浏览器访问)   GET https://oidc-authorization-code.authing.cn/oidc/session/end?id_token_hint={id_token}&post_logout_redirect_uri=http://localhost:8080/&state=1676452381   02 SSO (Single Sign-On) 单点登录 & SLO (Single Logout) 单点登出 2.1 SSO 实现 SSO(Single Sign-On) 单点登录，即同时访问多个应用仅需要登录一次。举例：我们现在有两个站点分别是 http://uthing.com http://ething.com 我们希望用户在 http://uthing.com 进行认证后，跳转到 ething 后无需二次认证，反之也是一样的。具体流程： 1.用户访问 http://uthing.com ，uthing 前端发现用户未认证，跳转至 Authing 进行认证。 2.用户在 Authing 发起认证完成，Authing 创建 SSO Session ，下发临时授权码 (code) 重定向到 uthing 后台。需要注意的是，在这里我们也可以重定向到前端页面，再由前端页面自行判断如果是 Authing 回调请求，则携带临时 code 到 uthing 后台去获取 token 。 3.uthing 后台通过 code 向 Authing 换取 access_token、id_token、refresh_token 等，并下发给前端。 4.uthing 前端通过 access_token 可以直接向 Authing OIDC 用户信息端点获取当前用户信息。 5.uthing 前端在在后续请求后台时，携带由 Authing 颁发的 access_token ，后台在接受到用户请求后去 Authing 校验 Token 是否有效，有效则可放行，若 Token 校验失败或已过期则返回错误信息。 6.用户访问 http://ething.com ，ething 跳转至 Authing 进行认证。 7.由于用户在 Authing 已经完成认证，创建了 sso_session ，Authing 侧直接下发临时授权码 (code) ，无需二次认证，后续流程同 1 。   我们发现，用户在 uthing 认证成功的时候，再访问 ething 的时候会向 Authing 跳转一下，才能完成后续流程，这是由于 http://ething.com 和 http://uthing.com 并不是同一个站点，无法实现 cookie 共享，如果你的产品地址是： http://uthing.xxx.com http://ething.xxx.com 我们则可以利用相同域下 cookie 共享的方式实现 SSO ，从而避免此问题。 2.2 SLO 实现 SLO(Single Logout) 单点登出，即多个应用仅需要登出一次，其他应用也自动登出。 01 场景 1 如果你的产品地址是同一个域，例如： http://uthing.xxx.com http://ething.xxx.com 则 SLO 流程如下： 1.用户在某个站点登出，我们则需要调用 OIDC 登出端点销毁 Token，由于是 cookie 共享实现的 SSO ，然后清除 http://xxx.com 对应会话的 cookie 即可。 2.ething / uting 应当在每次发起请求前，判断 cookie 中是否存在登录态，若不存在，则需要跳转默认页面提示用户已经登出。 02 场景 2 如果你的产品地址不是同一个域，例如： http://uthing.com http://ething.com 则 SLO 流程如下： 1.用户在某个站点登出，我们则需要调用 OIDC 登出端点销毁 Token，在 Authing 的应用配置中，你应当先把应用都添加到 SSO 中，或者 http://uthing.com 和 http://ething.com 使用 Authing 的同一个自建应用，当用户在某个站点登出后，另外一个站点的 Token 也会失效。 2.用户未登出的站点发起请求，当后台校验 Token 失败后，则下发清除 cookie 的命令并跳转默认页面提示用户已经登出，需要登录。 03 本章总结本章我们介绍了 OIDC 授权码模式的接入流程以及相关接口的调用方式，对于小白来说可能需要整体跑一遍流程才能熟悉，我们也建议你 fork 我们的 postman collection 跑一遍流程，对授权码模式你就基本掌握啦。接下来我们还会介绍 OIDC 的授权码+PKCE 流程，以及接入 Authing 的方式，需要你对授权码模式的流程有一定了解哦。

伴随企业数字化进程进入“深水区”，企业面临着日益复杂的 IT 系统和业务流程，不同系统间的壁垒导致企业运转效率下降以及协同摩擦增加。而事件驱动架构（Event-Driven Architecture，EDA）已成为解决这些问题的关键技术。事件驱动是指在分布式系统中，各个组件之间的交互基于事件通信，而非直接的请求-响应模式，具有异步、松散耦合等特征。在 EDA 中，组件之间通过发布（Publish）和订阅（Subscribe）事件来实现协作，事件可以是用户操作、系统状态变化、传感器数据等。 Gartner 将事件驱动架构（EDA）列为十大战略技术趋势之一，并强调事件驱动架构 (EDA) 是技术和软件领域发展的主要驱动力。EDA 是实时敏捷数字业务的核心，通过“监听”物联网 (IoT) 设备、移动应用程序、生态系统以及社交和业务网络等事件源，以数字形式实时捕获真实世界的业务事件。过去，以 API 为中心的应用程序设计架构显著提升了业务的敏捷性，但随着数字化业务场景越来越复杂，企业对于实时智能、敏捷响应、上下文自适应等需求增加。仅依靠 API 为中心的请求驱动模型就显得力不从心。随着越来越多数字化系统的接入，应用程序变得更难拓展，连接的 API 网络更难管理，不同系统间的数据壁垒越筑越高，系统的耦合度越来越高。而依托事件驱动架构异步、松耦合的特性，将各个业务系统解耦，降低系统间的依赖程度，最大程度提升企业数字敏捷性。本文将主要探讨什么是事件驱动？事件驱动对业务的帮助和价值是什么？   01 什么是事件驱动？想象一个常见的场景。当你的公司需要招聘一名新员工，基础流程包括：发布职位广告-面试-录用-人事准备-入职程序-工作安排。这是一个基础的招聘流程，在这个流程中，每一个步骤都是基于一个特定的事件来进行的。例如，招聘过程是基于公司需要新员工这个事件的触发来进行的；面试是基于收到应聘者申请这个事件的触发来进行的；录用是基于面试考核通过这个事件的触发来进行的。以上是一个常见的事件驱动用例。该用例是企业标准的招聘流程或系统，企业管理者只需要搭建好整套招聘流程和拟定标准，以及每个节点所需要的人员。在管理者需要招聘新员工时，只需要发布指令，该招聘系统则会自动依照流程运作，直至返回招聘结果。以上述场景为例，事件驱动架构主要包括四个关键组件：事件：在系统中发生的任何事情都可以看作是一个事件。在员工入职流程中，例如发布招聘广告、收到应聘者申请、发出录用通知、完成培训等都可以看作是事件。事件源：事件源是触发事件的对象。在员工入职流程中，例如发布招聘广告的人员、收到应聘者申请的招聘专员、发出录用通知的人事专员等都可以看作是事件源。事件处理程序：事件处理程序是针对特定事件的处理逻辑。在员工入职流程中，例如招聘专员负责面试和录用流程，人事专员负责人事准备和入职程序，部门经理负责为新员工安排工作等都可以看作是事件处理程序。事件队列：事件队列是用于存储事件的数据结构。在员工入职流程中，事件队列可以是公司的招聘管理系统或人事管理系统。在事件驱动架构中，事件源触发一个事件，该事件被放入事件队列中等待被处理。事件处理程序从事件队列中获取事件并执行相应的逻辑，最终完成事件的处理。在上述员工入职流程中，当公司需要新员工时，招聘专员发布招聘广告并收到应聘者申请，这些事件会被放入事件队列中，招聘专员则会从事件队列中获取这些事件并执行面试和录用流程。在实际业务场景中，虽然有很多数字化工具帮助处理相关信息，但依旧有很多程序需要手动执行，不仅效率低，还存在很多因人为操作失误带来的风险隐患。例如在上述场景中，员工各类应用系统账号创建、各系统员工身份数据的同步（包含权限等）、员工入转调离身份信息管理、员工离职后的权限及信息删除等员工全生命周期管理均需要手动操作。这无疑是一项重复机械的劳动，对于体量较大的或人事变动较多的组织来说更是如此。并且还存在因为漏关权限等人为误操作带来的企业信息安全隐患。而基于事件驱动架构设计的身份自动化编排系统，则可以通过无代码的形式将员工全生命周期编排成一个事件流，以实现员工全生命周期自动化管理，同样的场景也可以复用在用户、合作伙伴管理中。当然，以上仅仅是一个基础用例。基于事件驱动的身份自动化管理系统还拥有无穷的想象和创新空间。   02 事件驱动对企业的价值 Gartner 报告指出，掌握“事件驱动的 IT”和以事件为中心的数字业务战略将成为大多数全球企业 CIO 的首要任务。企业严重依赖技术来构建可扩展、敏捷和高度可用的业务。事件驱动架构正在成为支持现代企业实时运营、快速适应变化并做出明智业务决策的关键基石。降低系统之间的依赖性在传统的系统中，不同的组件需要在代码层面进行耦合，例如通过函数调用或共享变量等方式。这种紧密的耦合会导致组件之间高度依赖，当一个组件需要修改时，往往需要同时修改其它组件的代码，这样会导致系统的不稳定性和难以维护。相比之下，事件驱动架构中，组件之间通过事件进行通信，而不是直接调用代码或共享变量。当一个组件完成某个任务时，它将触发一个事件，然后将这个事件发送给系统中的其他组件。其他组件可以根据自己的需要选择是否要监听这个事件，如果监听则可以响应事件并执行相应的操作。这种机制使得系统中的组件可以相对独立地进行开发和维护，减少了代码之间的耦合度。这种松耦合方式使得系统具有更高的可维护性和可扩展性。当需要修改某个组件时，仅需要对该组件进行修改，而不需要同时修改其他组件的代码。这不仅简化了开发过程，同时也使得系统更加健壮和灵活，因为不同的组件可以独立地进行部署和升级。同时，这种事件驱动架构的松耦合特性也使得系统更加容易进行扩展和集成，因为新的组件可以很容易地添加到系统中而不会影响到其他组件的运行。提高可用性和可靠性传统的系统通常采用紧耦合的方式，即各个组件之间紧密依赖，一个组件的故障很容易影响到其他组件的正常运行，从而导致系统的故障和不可用。在事件驱动架构中，当某个组件出现故障时，其他组件可以选择是否监听该事件，不受影响的组件可以继续执行自己的任务而不受影响。因此，这种松散的耦合方式可以提高系统的可用性和可靠性。此外，事件驱动架构还可以通过异步事件处理的方式来提高系统的可用性和可靠性。异步事件处理的特点是事件的处理是非阻塞的，即组件不需要等待事件的处理结果就可以继续执行自己的任务。这种处理方式可以降低系统的延迟，并且能够处理大量的并发请求，从而提高系统的性能和可靠性。事件驱动架构还可以通过实现事件溯源机制来提高系统的可靠性和容错性。事件溯源机制是指将事件的历史状态记录下来，并且可以回溯到任何一个事件的状态。这种机制可以帮助企业快速恢复系统，以及减少因故障而导致的数据丢失。通过记录和回放事件，企业可以更加容易地发现和解决系统的问题，从而提高系统的可靠性和容错性。敏捷开发事件驱动架构可以帮助开发人员更快地开发和部署应用程序。由于每个组件都是独立的，因此可以并行地开发和测试每个组件，从而缩短应用程序的开发时间。在部署方面，企业可以选择只部署需要的组件，而不是整个应用程序，这将进一步加快部署速度。支持灵活的架构演进企业可以通过向系统中添加新的事件、更改现有事件的结构或添加新的组件来扩展其功能。通过这种方式，企业可以实现较小的增量更改，同时仍保持整个系统的稳定性和可靠性。另外，事件驱动架构还可以通过使用适当的事件类型来促进组件之间的松散耦合。例如，企业可以定义通用事件类型来处理跨多个组件的通信和协作。这种松散耦合使得企业可以更容易地更改系统的某些部分而不影响整个系统。在灵活的架构演进方面，事件驱动架构还支持多种部署选项。企业可以选择在本地、云端或混合部署中使用事件驱动架构，以适应其业务需求和可用资源。实时的数据处理与分析在事件驱动架构中，事件是系统的核心，组件通过触发和处理事件来进行通信与协作。因此，事件驱动架构非常适合处理实时数据，并且可以轻松地将数据从一个组件传输到另一个组件。企业可以构建实时数据处理系统，从而更快地对业务数据做出决策和反应。例如，企业可以使用事件驱动架构来监控网站流量、分析用户行为、检测异常等。在这种情况下，组件可以通过触发和处理事件来快速响应这些实时数据，并执行必要的操作。此外，事件驱动架构也可以用于构建复杂的数据流处理系统，例如处理大数据、实现实时分析等。这些系统需要处理大量的数据，并且需要快速而准确地处理数据。事件驱动架构可以通过使用分布式事件处理系统来实现这些目标，同时保持系统的可扩展性和可靠性。这些优势可以帮助企业更好地了解自己的业务，优化业务流程，并提高企业的竞争力。   推荐阅读：市场营销新视角，从这一步开始与竞对拉开距离｜身份云研究院 ChatGPT 用户破亿背后... 如何增强企业数字敏捷性？｜身份云研究院  