在日常工作和生活中，电子邮箱已经成为我们不可或缺的沟通工具，无论是使用常见的公共邮箱服务如 http://qq.com、http://163.com，还是公司专属的企业邮箱，都是一种快捷、高效的通讯方式。但对于现代企业来说，电子邮箱的作用远不止于此，它更是身份认证的一部分。当用户需要频繁登录多个系统或应用时，传统的身份验证方式可能显得繁琐，甚至会因复杂的操作流程影响用户体验。为了解决这个问题，Authing 全局登录框引入了全新的 IdP（身份提供商）邮箱域名匹配登录模式，并已全面兼容 SAML 和 OIDC 身份源，同时支持租户场景使用，帮助企业实现更加简洁高效且隐私保护的登录方式，优化用户体验的同时满足业务多样化的身份验证需求。 01.功能亮点 支持 SAML 和 OIDC 身份源连接的 IdP 邮箱域名配置 企业管理员可自行设置多个身份源连接的邮箱域名匹配规则，无需直接在登录框中向用户展示身份源列表。当用户在登录框输入邮箱地址时，系统将根据配置的邮箱域名规则，自动匹配到相应的身份源进行验证。例如，企业可将“@example.com”域名与 Azure AD 身份源绑定，同时将“@partner.com”域名与 Okta 身份源绑定。当用户在登录框中输入邮箱地址时，系统会根据邮箱域名规则，自动匹配到对应的身份源并完成验证，完全无需用户干预。 隐藏身份源列表，保护用户隐私 用户登录时无需面对复杂的身份源列表，而是通过邮箱域名或其他隐性规则直接匹配身份源。隐藏身份源列表后，用户登录过程中不会暴露可用的身份源信息，从根源上减少敏感信息泄露的风险，简化了登录流程，避免了多身份源情况下的操作繁琐，同时通过将身份源信息隐藏在后台，有效减少了敏感信息泄露的风险。尤其是在涉及敏感业务的行业或对隐私保护要求较高的场景中（如金融、医疗等），为企业提供了一个既安全又高效的登录解决方案，满足了隐私保护与安全合规的双重需求。 支持多租户场景，满足复杂业务需求 在多租户模式下，不同租户可能拥有各自独特的业务场景和身份认证需求。为满足这种复杂环境中的多样化需求，IdP 邮箱域名匹配登录模式为多租户企业提供了灵活的配置选项。租户管理员可以自行为租户创建身份源、绑定 IdP 域名列表使用，登录流程更加精准高效。无论是按业务部门划分的内部租户，还是跨地域运营的全球分支机构，企业都能轻松通过该功能实现差异化管理。例如，不同租户的用户可以通过输入其企业邮箱地址，系统自动匹配到对应的身份源进行验证，无需额外操作。 02.覆盖三大场景，打造丝滑的用户体验 提升用户登录体验 在数字化体验至关重要的时代，用户登录流程的便捷性直接影响整体使用感受。通过邮箱地址自动匹配身份源的功能，用户在登录时无需面对复杂的身份源选择界面，仅需输入邮箱地址，系统即可根据邮箱域名匹配规则，智能完成身份源的自动选择。当用户输入邮箱后，用户只需要点击一次“登录”，系统后台就会实时解析邮箱域名，并与预设的匹配规则进行校验，快速识别对应的身份源。整个过程对用户而言是完全无感知的，省略了传统登录方式中选择身份源的步骤。对于需要接入多个身份源的企业或组织，显著减少了因身份源列表过多可能引发的选择错误或登录失败的问题。 多身份源连接场景 在现代企业的数字化环境中，接入多个身份提供商（如 Azure AD、Okta、Ping Identity 等）已成为常态，以满足不同业务系统的多样化需求。但对于最终用户而言，频繁面对多个身份源的选择可能会增加理解负担，降低登录体验的流畅性。用户只需在登录框输入其邮箱地址，系统便可根据预设的匹配规则，自动定位到与邮箱域名关联的身份提供商进行认证，无需用户手动选择具体的身份源。 企业隐私信息保护需求 在当前的数字化环境中，企业和组织对数据隐私与安全的要求日益严格，尤其是涉及身份源敏感信息的场景。某些企业或组织需要特别关注身份源信息的保护，避免身份源列表在用户登录时的暴露，降低潜在的安全风险。通过邮箱域名匹配功能，用户登录时无需直接看到身份源列表。企业不仅能够为用户提供更加便捷且直观的登录体验，还在系统层面强化了隐私保护与安全性。 03.功能描述 配置登录模式在 品牌化 -> 全局登录框 菜单中，新增了对于登录模式的全局配置：「登录模式」。1、常规登录：默认选项，将常规登录方式与身份源登录方式分离，所有身份源需要用户在「其他登录方式」列表主动访问才可使用。 2、邮箱域名匹配登录模式：选择此模式后，可以根据为部分身份源连接开启「IdP 邮箱域名匹配登录」，开启后支持自主隐藏需要脱敏的身份源；为身份源设置域名后，用户输入邮箱格式账号时登录框将根据域名匹配相应的其他登录方式 / 常规登录方式。 点击「保存」按钮后，配置将立即对所有应用登录框及单点登录 SSO 生效。暂不支持应用独立配置。 配置身份源 IdP 邮箱域名 要使用 IdP 邮箱域名匹配身份源登录，需要先在身份源详情页为身份源连接配置 IdP 邮箱域名。每个身份源连接的 IdP 邮箱域名列表互相独立、不可重复。 启用身份源 IdP 邮箱匹配登录 为身份源连接配置 IdP 邮箱域名后，开启「根据邮箱域名匹配」开关，点击详情页「保存」按钮。保存成功后，如果用户在登录框输入的邮箱后缀与该身份源连接的 IdP 邮箱域名列表相符，就可以通过邮箱账号的域名匹配登录该身份源连接，不需要另行选择其他登录方式。   如果用户在登录框输入的邮箱后缀与所有启用「IdP 邮箱域名登录」的身份源连接 IdP 邮箱域名列表都不相符，则将继续账号密码登录流程。   在登录框隐藏启用 IdP 邮箱匹配登录的身份源 为身份源连接开启「根据邮箱域名匹配」开关后，默认在登录框隐藏该身份源连接。你仍然可以开启 作为「其他登录方式」展示 开关，对用户展示这个身份源连接。

在现代企业数字化进程中，IGA（身份治理与管理）产品将能够覆盖从用户帐号创建到终止的整个生命周期管理，包括管理员对用户的授权管理、用户自助服务与审批管理、用户与用户之间的权限流转管理。企业仅仅依靠基础功能，难以应对复杂业务环境中日益严苛的安全与合规需求。在权限流转的过程中，由于角色分配权限的多样性和业务场景的复杂性，可能会出现权限权限、冲突等安全隐患，引发合规性风险，企业需要通过事前探知的策略与事后审计活动进行维护。在此背景下，SoD（职权分离）与权限审计将组成预防授权违规和维护系统安全的重要能力。 01.什么是职权分离与权限审计？ 职权分离：事前预防违规授权 职权分离支持组织将内部的合规制度添加至系统中的授权行为之前，预防违规的授权、进而预防风险。通过阻止潜在的冲突权限组合，将企业内部的合规制度融入授权管理流程中，构建了事前预防机制。管理员可以配置职权分离策略，将可能导致合规风险的权限角色分配至冲突权限组中。例如，将“出纳权限”和“会计权限”分别设定为冲突组，确保同一用户无法同时拥有两种权限，预防财务违规行为的发生。当用户或用户池主体试图获取两个冲突组中的权限时，系统会实时触发策略运行日志，记录潜在的违规行为并发出警告，将违规风险控制在萌芽阶段，为企业内部控制提供了强有力的技术支撑。 权限审计：事后维护授权安全 权限审计功能支持组织对部分用户主体或权限实体进行授权的审计，在授权行为完成后进行定期维护。通过权限审计功能，支持企业对授权行为进行事后检查和维护。企业可以设定审计周期，例如按照部门或岗位，对用户权限进行季度审计，及时发现并撤销已停用或高风险的权限分配。权限审计生成的详细报告，可以帮助管理者全面了解授权现状，确保权限管理始终符合安全和合规要求。例如，一家企业在权限审计中发现某员工因岗位调整导致权限冗余，通过及时清理降低了潜在风险，同时优化了系统权限配置。 02.Authing 新增配置职权分离策略 Authing 支持管理员通过配置职权分离策略，将企业合规制度加入到授权行为监管中。作为用户池管理员，可以通过将可能引发合规风险的权限角色分别加入同一条职权分离策略中的两个冲突权限组，从而实现精准的权限隔离。例如，在一个权限敏感的业务环境中，“财务审批”权限与“资金支付”权限可能因角色交叉而带来高风险。管理员可将这两类权限分配到冲突权限组中，当用户试图同时获取两个组的权限时，系统会自动触发策略运行日志。不仅实时记录潜在违规行为，还能发出预警，为管理员提供及时干预的依据，确保权限管理的合规性和透明性。通过职权分离策略的实施，企业能够在授权行为中构建更加细致且符合安全要求的管控体系。管理员不再需要依赖人工检查，而是通过自动化工具高效管理复杂的权限组合情况，为企业的安全合规运营奠定技术基础。未来，随着数字化管理的深化，这种策略将进一步发挥作用，帮助企业在快速变化的业务环境中保持系统稳定与合规。 03.详细功能描述 创建职权分离策略 在授权中，职权分离策略是帮助企业构建合规权限管理体系的重要功能。Authing 已在「权限管理」模块中新增了「职权分离」Tab 页，为管理员提供更高效的权限配置和策略管理体验。需要注意的是，「职权分离」功能目前以灰度模式上线，为保证功能的稳定性和适用性，用户需提前申请开通白名单权限第三方可使用。在功能开通后，管理员即可进入职权分离菜单，通过系统化的步骤轻松创建和管理冲突权限组，有效预防潜在的权限冲突风险，助力企业在复杂业务环境中更从容地应对安全。 功能使用指南 1、在开始使用「职权分离」管理授权行为之前，你需要先在「角色管理」中创建不可同时授权给同一个主体的 2 组角色；2、完成「1.」并开通职权分离菜单后，你可以开始在 职权分离 -> 职权分离策略 创建职权分离策略，如下图所示： 3、创建职权分离策略的步骤 1 中，你需要选择一种冲突权限组的类型。当前仅支持角色权限，其他类型将在后续版本迭代。 4、点击「下一步」按钮，在步骤 2 中，你可以将「1.」中创建的角色分别加入两个冲突权限组中，下图示例为将角色「示例角色 A」加入「示例权限组 A」，将「示例角色 B」加入「示例权限组 B」： 5、如需修改某个权限组中的角色，可以点击双箭头图标按钮下拉冲突权限组，移除组中角色。 6、将角色分别加入 2 个冲突权限组后，点击「下一步」按钮，设置策略的名称、描述等基本信息，这将用于快速区分策略所包含的合规制度信息。完成后，点击「下一步」按钮： 7、在步骤 4 中你可以再次检查策略的名称、描述、冲突权限组及其所包含角色的信息。准确无误的情况下，请点击「创建策略」按钮，你将完成一条职权分离策略的创建。策略创建后将开始运行，如果需要停用，可以在「策略运行状态」列关闭开关。 编辑职权分离策略当创建完成职权分离策略后，管理员仍然可以对已创建的策略进行灵活编辑，企业在不同阶段的业务需求或响应环境变化快速。管理员可以调整策略的冲突权限组配置、更改名称策略与描述，甚至添加或删除特定角色。通过这些操作，企业能够及时对授权规则进行优化，确保权限管理始终满足业务需求和合规标准。 策略运行日志策略创建后将自动开始运行，在运行期间，管理员对用户授权的行为、用户通过自助申请获得的授权都将受到职权分离策略的监测。如果新的授权行为触发了策略中设置的冲突权限组规则，策略运行日志将记录授权主体相关的信息，用于判断授权行为是否有风险。 在每条职权分离策略详情中可分别查看触发过该策略的日志： 导出策略运行日志职权分离策略的运行日志是记录授权行为监测与冲突权限触发情况的重要数据来源。为了帮助管理员更实地分析和评估授权行为的高效合规性，Authing 支持将导出选定的时间范围 / 触发策略来源范围内的日志。通过导出日志，管理员可以从多维度对权限管理流程中的潜在风险和问题进行深入分析，进一步优化企业的合规策略。  

在构建 AI 应用时，身份认证（Authentication）和授权（Authorization）是两个核心的安全概念。身份认证是确定用户是谁的过程，而授权是确定用户是否有权限执行特定操作的过程。简而言之，身份认证回答“你是谁”，并授权回答“你能做什么”。这两个概念看似简单，但在 Next.js 环境中实施远要复杂得多。Next.js 作为一款高性能、轻量化的服务端框架，为开发者提供了丰富的开发工具和灵活的架构，但并未内置身份认证和授权原语（auth-primitives），开发人员不得不自己想办法构建身份验证解决方案。如何选择合适的身份认证方案，成为开发者面临的一大难题。 01.什么是 Next.js ？ Next.js 是一个基于 React 功能丰富且优化良好的框架，用于构建高性能的 AI 应用。它为开发者提供了一些开箱即用的功能和工具，使得开发过程更加高效，尤其是在服务端渲染（SSR）、静态生成（SSG）和客户端渲染（CSR）之间的无缝切换方面。Next.js 具备以下优势： 高性能 Next.js 支持 SSR 和 SSG，大幅提升页面加载速度和 SEO 表现。通过 SSR，页面在服务器端渲染，用户可即时获取完整的 HTML 内容，减少浏览器端渲染负担。SSG 则在构建时预生成静态页面，降低服务器实时处理压力。对于需要处理大量数据或实时更新的 AI 应用，Next.js 的高性能渲染能够确保模型预测结果和数据分析实时呈现，提升用户体验。 灵活性 Next.js 的渲染模式（SSR、SSG、CSR）能够很好地适配不同的身份验证场景。每种渲染模式都可以根据业务需求和应用的特性选择，提升安全性、性能和用户体验。通过服务端渲染（SSR），可以在服务器端处理身份验证，确保每个请求都经过安全检查，有效降低未授权访问的风险；静态生成（SSG）则适用于内容较为固定的应用，通过预生成静态页面提升加载速度，并通过 API 路由处理身份验证；而客户端渲染（CSR）在高交互性的应用中，通过前端存储和 API 路由提供快速响应的用户体验。不同渲染模式使得 Next.js 能够在多种身份验证场景下提供合适的解决方案，确保系统既高效又安全。 开发效率高 Next.js 提供了一系列高效的开发特性，如自动代码拆分、文件系统路由、热重载、零配置的服务器端渲染（SSR）、API 路由以及 TypeScript 支持，能够将应用拆分成多个独立的模块，按需加载，减少了初始页面加载的资源量，避免了开发者手动拆分代码的复杂性。通过简化配置、提供高效的开发工具和优化的性能，Next.js 使开发者能够专注于业务逻辑的实现，减少了项目构建中的繁琐工作，高效、快速地构建出高性能、可靠的 AI 应用。 全栈开发 Next.js 提供内置的 API ，开发者可以在项目中实现身份验证和授权功能。对于需要支持社交登录、单点登录（SSO）、多因素认证（MFA）等高级功能的应用场景，开发者可以直接在 API 中编写逻辑，将前后端高效结合在一起，减少并发处理带来的开发负担。开发者能够更加灵活地设计应用的身份验证和授权逻辑，在满足高安全性需求的同时，也能够保证应用的高性能和良好的用户体验。 02.开发者为什么选择 Authing ？ 随着登录方式的多样化，无密码登录、邮件验证和多因素身份验证（MFA）已成为现代应用程序中的常见功能。虽然现有的一些身份验证库也能支持这些功能，但它们往往需要开发者在原本就复杂的设置基础上进行额外的配置和集成。随着应用的不断迭代和功能扩展，开发者不得不投入大量的时间和精力在身份维护和更新，无法将精力集中在核心功能的开发和业务创新上。许多开发者会选择身份服务供应商来解决这些问题，例如 Clerk 。但 Clerk 的数据存储和服务基础设施主要位于海外，对于那些需要低延迟、高实时性，以及严格合规的应用场景来说，可能不是最佳选择。相比之下，Authing 提供了一套本地化身份解决方案，专为中国开发者量身定制，能够高效助力 AI 应用快速构建完善的身份体系。通过 Authing，开发者无需面对复杂的配置流程，也无需担忧跨境数据传输可能引发的延迟、网络波动或合规性问题。Authing 提供从用户注册、无密码登录、MFA 到权限管理的一站式服务，简化了开发流程，大幅降低了开发人员在身份管理上的投入成本，让开发者能够将更多的时间和精力投入到 AI 模型的开发、算法优化以及核心功能的打磨上。 一站式聚合身份体系 Authing 是一个全场景身份云产品，它旨在为开发者和企业提供一套完善、安全的用户认证和访问管理服务。Authing 的主要功能包括单点登录（SSO）、身份自动化、用户分析、多因素认证、行为审计、风险控制、跨平台设备管理、IoT 身份认证等。并且 Authing 支持多种国际身份认证协议，如 OAuth2.0、OIDC、SAML、AD/LDAP、WS-Fed、CAS 等。无论是快速集成用户认证系统，还是实现复杂的身份管理策略，Authing 都能为开发者和企业提供灵活、安全且高效的解决方案。 开箱即用，快速集成 Authing 提供了 2000+ API 和 SDK 支持多种编程语言，包括 JavaScript、Python、Java 等，能够自由地集成和扩展身份认证功能，一站式聚合全场景身份体系。对于 AI 开发者而言，Authing 的开箱即用特性能够快速集成用户认证和权限管理，无需花费大量时间在身份验证的细节上，专注于 AI 模型的开发和优化。同时，Authing 支持云交付和私有化部署方式，满足不同企业的安全和合规需求。 数据安全合规 随着全球数据隐私保护和合规要求的不断提高，国内许多企业也面临严格的合规挑战，特别是涉及 AI 应用处理的大量用户数据和行为分析。Authing 具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》，支持使用国密 SM1、SM2、SM3、SM4 等加密方式，保护企业数据资产安全。并且 Authing “基于云原生架构的统一身份认证管理”解决方案入选金融信创实验室优秀解决方案。Authing 统一身份与权限管理平台能够灵活应用于各行业 IT 管理、权限管理、 IT 审计、安全风控、AD 替换等多种场景，不仅支持飞腾、鲲鹏、C86、兆芯、麒麟等多种芯片，还支持主流国产操作系统和浏览器客户端使用，支持 X86、ARM 等架构。 03.使用 Authing + Next.js 为你的 AI 应用快速构建身份体系 随着 AI 应用场景的不断扩展，身份管理已成为开发者需要重点关注的关键环节。无论是用户登录、权限管理，还是数据隐私保护，都对身份认证提出了更高的要求。通过 Next.js + Authing ，开发者能够快速为 AI 应用搭建安全、高效的身份体系，为应用提供可靠的用户认证和管理功能，为开发团队节省大量时间和精力。 完善登录系统 Authing 身份登录平台为企业和开发者提供的单点登录（SSO）、多因素认证（MFA） 以及无密码登录等功能，开发者可以为用户提供安全、便捷的身份认证体验，避免传统用户名和密码登录的安全隐患。无论是跨平台应用还是需要高安全性的敏感数据管理，Authing 都能提供一个可靠、安全、灵活的身份认证解决方案，确保用户数据的安全性和隐私性。同时 Authing 提供强大的跨平台身份管理能力，支持 Web、移动端、IoT 设备等多个平台的身份验证，确保用户在不同设备和平台上的身份认证和权限管理保持一致，大幅提升用户体验和运营效率。结合 Next.js 的响应式设计能力，你可以为不同设备上的用户提供优化的认证体验。Next.js 的灵活渲染模式（如 SSR、SSG 和 CSR）能够根据用户设备和浏览器的差异动态调整页面内容，确保在各种终端上都能提供流畅的身份验证过程。 动态权限管理无论是简单的角色管理还是复杂的权限控制，Authing 提供的动态权限管理系统都能帮助你为不同角色的用户分配不同的访问权限。系统将各类权限聚合起来组成「角色」，给后台管理员（员工）赋予不同的角色，就可以控制其在系统中可接触的空间范围，确保他们「权责分明」、「不越界」。从全局考虑数据资产，基于场景对业务流程不断进行切片细化，用数据优化、重构，推动整个系统架构，实现细粒度的权限管理，以用户为中心，实现全场景业务权限的集中化、可视化、个性化。 无缝前后端集成Authing 提供了易于集成的 API 接口，你可以将前端和后端逻辑高效地结合起来，使身份验证和用户管理功能更加紧密集成，用户身份管理和权限控制流程变得简化且高度模块化。与传统的分离式前后端架构不同，开发者可以直接通过 API 快速处理登录、注册、身份验证和授权等操作，无论你开发的是 iOS 或 Android 系统的软件， 使用 React、Vue、Angular 或 Javascript 前端框架， Authing 都能支持你快速为用户提供流畅的登录认证体验，避免了繁琐的后端服务配置，提高了系统的响应速度和开发效率，保证了用户的认证过程更加流畅。 04.具体接入流程 接入 Authing 认证 Authing 配置若你还没有 Authing 账号，可以前往 https://console.authing.cn 免费注册，然后创建一个用户池。 应用配置在 Authing 控制台找到创建自建应用，填入必要信息，点击创建。 将应用的回调地址和登出回调地址修改为 Next.js 项目地址。 如果你需要在 Next.js 中使用 Authing Guard 托管模式，还需要修改如下配置： 按需开启登录方式： 创建测试用户在成员列表创建一个测试用户 在用户详情允许访问上一步创建的应用 获取配置信息在应用详情和用户池配置中，获取到应用 ID、认证地址、用户池 ID 信息，后续需要配置到 Next.js 项目中： 在 Next.js 中接入 Authing Guard 安装 Guard npm install @authing/guard-react18 # or yarn add @authing/guard-react18 嵌入 Guard可以使用内嵌模式将 Authing Guard 直接嵌入到你的登录页。 // config.tsimport type { GuardOptions } from '@authing/guard-react18' export const AUTHING_APP_ID = 'YOUR_APP_ID' // 之前获取的应用 IDexport const AUTHING_USERPOOL_ID = 'YOUR_USERPOOL_ID' // 之前获取的用户池 IDexport const AUTHING_APP_HOST = 'YOUR_APP_HOST' // 之前获取的认证地址 export const guardOptions: GuardOptions = { appId: AUTHING_APP_ID, // 如果你使用的是私有化部署的 Authing 服务，需要传入自定义 host，如: host: AUTHING_APP_HOST, // 默认情况下，会使用你在 Authing 控制台中配置的第一个回调地址为此次认证使用的回调地址。 // 如果你配置了多个回调地址，也可以手动指定（此地址也需要加入到应用的「登录回调 URL」中）： // redirectUri: "YOUR_REDIRECT_URI",} // common/authing-guard.ts// 初始化 Guardimport { Guard } from '@authing/guard-react18'import { guardOptions } from '../config'export const guard = new Guard(guardOptions) // pages/Login.tsx import { useEffect } from 'react'import '@authing/guard-react18/dist/esm/guard.min.css'import { guard } from '../common/authing-guard'import { useRouter } from 'next/router' export default function Login() { const router = useRouter() const guardEffects = async () => { guard .start(document.querySelector('#authing-guard-container') as HTMLElement) .then(userInfo => { console.log('start userInfo: ', userInfo) }) guard.on('load', e => { console.log('加载啊', e) }) guard.on('login', userInfo => { console.log('userInfo: ', userInfo) // 登录成功，跳转到个人中心 router.push('/personal') }) } useEffect(() => { guardEffects() }, []) return ( <div> <div id="authing-guard-container"></div> </div> )} 检测登录态 登录后可以使用 Guard 检测登录态，并获取登录的用户信息。 // Personal.tsx // ... useEffect(() => { guard.trackSession().then(res => { console.log('trackSession res: ', res) if (!res) { // 跳转登录页 } }) }, []) // ... Authing 配置 创建 API 资源在 Authing 控制台权限空间中创建字符串类型的数据权限资源： 输入资源信息，点击创建 新建数据资源策略 授权 在 Next.js 中间件中接入 Authing 权限 // middleware.tsimport { NextRequest, NextResponse } from 'next/server'import { AUTHING_APP_HOST, AUTHING_APP_ID, AUTHING_USERPOOL_ID } from './config' // 限制 API 路由export const config = { matcher: ['/api/(.*)']} export async function middleware(request: NextRequest) { // 获取请求头中的 token const token = request.headers.get('authorization') ?? '' const pathname = request.nextUrl.pathname if (!token) { // 未登录 return NextResponse.json( { success: false, message: 'authentication failed' }, { status: 401 } ) } // 获取用户拥有的权限，生产环境可以缓存此值，无须每次请求都重新拉取 const res: { statusCode: number data: { userPermissionList: { resourceList: { strAuthorize: { value: string actions: string[] } }[] }[] } } = await fetch(`${AUTHING_APP_HOST}/api/v3/get-user-auth-resource-list`, { headers: { Authorization: token, 'x-authing-app-id': AUTHING_APP_ID } }).then(res => res.json()) if (res.statusCode !== 200) { return NextResponse.json( { success: false, message: 'Authorization check failed' }, { status: 401 } ) } // 是否具有 API 权限 const authorized = res.data.userPermissionList.some(up => { return up.resourceList.some(rl => { return rl.strAuthorize?.value === pathname }) }) if (!authorized) { return NextResponse.json( { success: false, message: 'No permission' }, { status: 401 } ) } return NextResponse.next()} 通过简单配置和几十行代码，完成了 Next.js 中接入 Authing 认证和授权的流程，实现了用户登录注册和 API 级别的鉴权，Authing 认证还支持各种社会化身份源的接入，数据权限方面也支持类似页面菜单、按钮类型资源的接入。以上 Demo 已上传 github：Guard/examples/Next.js-react18 at v4 · Authing/Guard

用户会话管理已成为实现安全访问和优化用户体验的关键功能之一。在互联网快速发展的今天，用户对在线应用的需求不仅限于功能丰富，更关注应用的性能、安全性以及便捷性。但传统的 HTTP 通信是无状态的，这意味着每次请求都是独立的，服务器无法记住用户的身份和操作状态。为满足企业对身份管理日益复杂的需求，Authing 最新推出了 Session 管理功能，帮助企业在快速发展的数字化环境中更好地保障用户身份安全和优化用户访问体验。 01.什么是 Session？ Session 管理功能的价值TP 协议的一种会话管理机制。在传统的 HTTP 通信中，每次请求都是独立的，服务器无法记住之前的请求。而 Session 机制允许服务器保存关于客户端的状态信息，从而实现用户状态的跟踪。当用户请求访问网站时，服务器会为该用户创建一个 Session 对象，并将该 Session 对象的 ID 返回给客户端。客户端将此 Session ID 存储在 Cookie 中，以便在后续请求中使用。服务器通过检查 Cookie 中的 Session ID 来识别用户，并将其与相应的 Session 对象关联起来。 02.Session 管理功能的价值 增强安全性 通过实时监控和主动管理用户的登录状态，管理员能够随时掌握用户的会话动态。一旦发现异常或潜在风险，可以立即采取措施，减少安全事件的发生。管理员可以实时监控和主动管理用户的登录态，极大减少未授权访问的风险。例如，当用户在公共电脑上登录后忘记退出或者设备遗失时，管理员能够快速远程强制登出用户的会话，有效保护用户账户和敏感数据。尤其适用于企业对高敏感性数据的严格防护需求，减少数据泄露事件的发生。 实现单点退出（SLO） 在企业数字化应用环境中，用户通常需要访问多个相互关联的服务，例如企业门户、客户管理系统（CRM）、办公套件和其他内部或外部系统。但传统的会话管理方式往往无法在多个应用之间保持同步，尤其是在用户频繁切换服务或未主动退出会话的情况下，可能会导致身份冲突或数据泄露问题。单点退出（Single Logout, SLO）功能能够确保用户在某一应用登出后，其他相关联的会话也能够同步退出，保持全局一致性，避免了多端应用可能引发的身份冲突或数据泄露问题。 防止会话劫持 会话劫持是网络安全中的常见风险，攻击者通过窃取用户的会话信息（如 Session ID）来冒充合法用户，获取未授权的访问权限。Session 管理支持管理员主动结束用户的登录会话。一旦检测到可疑活动，管理员可以立即将用户强制退出登录状态，切断攻击者的访问路径，有效降低会话劫持的风险，帮助保护用户敏感数据免遭恶意利用，全面提升账户安全性。 遵守合规性要求 《通用数据保护条例》（GDPR）、《个人信息保护法》（PIPL）以及金融领域的多项安全合规标准都要求企业能够对用户的登录状态进行实时控制和详细记录，确保用户身份的真实性和数据的安全性。通过实时监控和管理用户会话，企业不仅可以快速响应潜在的安全风险，还能够根据合规需求强制注销用户的登录状态，有效避免因会话过期或被盗用导致的数据泄露。同时，Authing 提供详细的会话记录和日志支持，使企业能够在必要时提供完整的审计报告，为合规性审查提供可靠保障。 提高系统可靠性 Authing 新增 Session 管理，为用户身份管理带来更强大支持长时间不再访问系统，但会话仍然保持活跃状态时，可能会导致系统资源的浪费，增加服务器的负载，甚至影响其他用户的正常访问体验。Session 管理通过智能化的会话监控和清理机制，确保在用户退出或会话过期后，系统能够及时释放相关资源。在用户不再需要访问系统时，能够确保系统资源被正确释放，避免资源浪费，同时减少系统负载。 03.Authing 新增 Session 管理，为用户身份管理带来更强大支持 Session 管理（新增菜单） 默认视图 在 Session 管理默认视图中，管理员可以快速获取系统中所有活跃会话的全面概览，帮助精准识别和定位需要管理的会话。在面对大规模用户或复杂应用环境时，管理员可以通过搜索快速查找特定的 Session ID。并且 Session 管理支持停用或批量停用功能，管理员能够迅速终止存在风险或不再需要的会话状态，避免潜在的安全隐患，简化日常运维操作，进一步提高了会话管理的灵活性和安全性。 用户视图 管理员可以以用户为单位查看和管理所有与该用户关联的会话数据，帮助管理员轻松追踪某个特定用户在多个应用和设备中的登录状态。管理员可以通过搜索功能，根据用户的名称或用户 ID 精准找到该用户的所有活跃会话，确保及时了解和管理其访问情况。管理员能够停用和批量停用会话，迅速强制退出用户会话，增强对用户访问的掌控力，确保用户数据和系统安全。 在用户视图的详细信息页面中，管理员可以通过抽屉式界面查看选中用户的所有有效会话列表，提供了清晰、直观的会话数据展示。详细信息页面展示了该用户在不同应用和设备上的登录信息，帮助管理员全面了解用户的登录态和访问情况。 应用视图 在应用视图中，管理员可以按照应用为单位展示和管理所有关联的会话数据。每个应用下的会话信息都被整齐地集合在一起，方便管理员快速浏览和筛选特定应用的登录信息。通过搜索功能，管理员可以按应用名称或应用 ID 精确查找目标应用的会话数据，进一步提升管理效率，适用于多应用环境中需要高效监控和管理的场景。 管理员可以查看选中应用下的所有有效会话列表，确保全面掌握与该应用相关的用户活动和登录状态。通过抽屉式界面，管理员能够便捷地获取详细的会话信息，包括用户名称、设备信息以及会话 ID 等关键信息，帮助管理员快速识别和定位潜在的安全隐患。 设备视图 管理员通过设备视图，以设备为单位，展示与设备相关的所有会话数据。在企业内有大量设备的情况下，管理员可以通过搜索功能，快速定位特定设备的会话，能够全面掌握特定设备上的用户登录状态和活动信息，确保对各类设备的访问行为进行有效监控和管理。设备视图同样支持停用功能，管理员可以针对单一设备或多个设备上的会话进行停用操作，帮助管理员快速有效地处理设备上的会话，迅速减少潜在风险。 管理员可以查看选中设备的全部有效会话列表。每个会话都包含详细的会话信息，如 Session ID、用户名称、应用名称和设备信息等，帮助管理员迅速了解该设备上所有活跃用户的状态。通过抽屉式界面，管理员可以在不离开当前页面的情况下，轻松浏览设备相关的所有会话，并对其进行有效管理。 用户/应用/设备详情 - Session 管理（新增 Tab 页） 用户详情-session 管理 在成员管理页中新增 Session 管理，展示了与特定用户相关的所有有效会话信息。管理员可以快速查看该用户在不同设备和应用中的登录状态，帮助追踪用户的访问路径。每个用户会话条目都清晰地列出会话 ID、设备信息、应用名称、登录时间等详细内容，方便管理员快速识别可能的安全隐患。管理员可以根据需要执行针对单个会话的停用操作，或者通过批量停用功能一键处理多个会话，有效防止潜在的安全风险。 应用详情-登录控制-session 管理 应用管理页中新增 session 管理，主要展示与特定应用相关的所有会话信息。管理员可以看到使用该应用的所有用户的会话详情，包括各个用户的登录状态、设备信息、会话 ID 等。管理员能够根据应用名称或应用 ID 搜索并筛选出相关的会话数据，确保对每个应用的用户访问行为有全面了解。管理员可以及时发现潜在的非法登录行为，并采取相应的安全措施，如强制退出登录会话等。 设备详情-session 管理在设备管理页中新增 session 管理，为管理员提供了基于设备的会话数据展示。管理员可以查看与特定设备相关的所有会话信息，包括该设备上的所有活跃会话、设备名称、用户信息、会话 ID 等。在设备视图中，管理员可以精准地定位到某个设备上运行的所有会话，并可根据设备名称或设备 ID 进行筛选。若发现某个设备存在异常登录情况（例如，设备丢失或出现未经授权的登录行为），管理员可以及时采取强制登出等措施来切断对系统的非法访问，确保企业数据和用户隐私的安全。

  随着网络威胁的日益复杂，身份伪造事件频繁发生，曾经被认为万能的 MFA（多因素认证）已经难再应对。即使启用了 MFA ，员工的安全意识薄弱也可能导致身份认证被破坏。当前很多情况下 MFA 系统是无效且容易受到攻击的。英国国家网络安全中心（NCSC）指出，社会工程技术已被用于用来破坏 MFA，并观察到针对启用 MFA 账户的攻击在过去几年中呈上升趋势。随着网络威胁的不断演进，MFA 等传统身份认证方法已经难以应对日益复杂的网络威胁，企业需要采用更先进、多层次的认证手段。企业需要重新审视其 MFA 策略，不能将 MFA 视为一劳永逸的解决方案，而应根据组织的特点和风险状况，选择合适的身份认证方式。 01.企业遇到常见的攻击方式 中间人（MitM）攻击 中间人（MitM）攻击是一种常见的网络安全威胁，攻击者通过在通信双方之间进行插入或拦截，从而获取敏感信息或操纵信息传输。Uber 在 2022 年遭遇了一起针对 MFA 的严重网络安全事件。攻击者通过向员工发送虚假的 MFA 通知，结合社会工程学手段，诱骗其点击恶意链接并输入凭证，最终获得了内部系统的访问权限。可见，即使启用了 MFA ，员工的安全意识薄弱也可能导致身份认证被破坏。随着网络威胁的不断演进，MFA 等传统身份认证方法已经难以应对日益复杂的网络威胁。 SIM 卡交换攻击 通过 SMS 文本发送一次性密码是传统 MFA 技术最常用的身份验证方法之一。攻击者首先会冒充真正的用户，声称原始的 SIM 卡丢失或被盗，并通过伪造身份信息或其他方式促使电信服务商尽快补发新的 SIM 卡。一旦攻击者安装新的 SIM 卡，可以用新卡来完成 MFA 检查、重置账户凭据，从而非法访问公司资源。据统计，2023 年此类攻击造成的损失超过 6800 万美元，影响了大量个人和企业账户的安全。尤其是对于金融行业用户，SIM 卡交换攻击往往直接导致账户资金的损失。 Pass-the-cookie 攻击 在身份认证中，cookie 就像“驾驶执照”，它在未过期之前能够验证用户的合法身份，允许他们免去多次登录的麻烦，并且可以不受限制地访问资源。会话 cookie 是用户浏览网站时浏览器与服务器之间交换的重要凭证，一旦被窃取，攻击者就可以绕过了传统的身份认证步骤，直接获得了进入系统的“通行证”，使得他们能够随意访问目标账户内的所有内容。攻击者可能会利用这一权限中断业务，进行非法交易或窃取商业机密。由于许多企业依赖云服务进行日常运营，Pass-the-Cookie 攻击可能带来长期的业务中断和收入损失。MFA 疲劳MFA 疲劳攻击是近年来不断升级的网络攻击手段，攻击者利用用户的注意力和疲劳来绕过多因素认证（MFA）的防御措施。具体而言，攻击者会反复向用户发送大量的 MFA 推送通知，即所谓的“通知轰炸”。这些频繁的通知会让用户因疲于应对而产生混淆或厌烦心理，从而在不加细查的情况下“默认通过”验证请求。通过向他们发送大量伪造的MFA通知，增加出错几率，使攻击者得以成功绕过MFA验证并获得访问权限。 02.下一代三大身份认证方式，快速提升身份安全防护力 基于 AI 实现的 CAMFA 「持续自适应多因素认证（Continuous Adaptive Multi-Factor Authentication，CAMFA）」是一种安全身份验证方法，它在自适应多因素认证（基于上下文属性判断当前安全状况以增加因素认证）的基础上增加了实时风险评估技术对用户进行动态评估安全系数。 CAMFA 通过集成 AI 和机器学习算法，能够从用户的行为数据中识别潜在威胁，实时监测并评估用户风险。当系统从断层登录检测到用户时，或尝试访问其平时不常接触的的敏感资源时，AI 会标记这些异常行为并触发相应的安全响应步骤，如动态增加认证要求。基于 AI 的分析能够在短时间内完成风险评估，自动决定是否进行额外的验证步骤，确保对异常活动的快速反应。 基于区块链技术为身份管理提供了一种去中心化 基于区块链的身份认证系统允许用户对自己的身份信息进行掌控，选择性地与第三方共享必要的信息，而无需依赖中心化的身份提供商。这种自主身份( Self-Sovereign Identity， SSI )模型不仅增强了隐私保护，也使身份认证过程更加透明和安全。智能合约作为区块链的重要特性，可以自动化访问控制流程，消除人为错误，提高合规性。Authing 的去中心化数字身份（DID）解决方案为用户提供了一个安全、灵活且隐私保护的身份管理系统。通过分布式用户池，用户可以实现隔离管理，保障隐私，同时利用智能合约和区块链技术进行事务验证，确保身份的可信性和透明性。Authing 支持多协议的单点登录，为用户提供可验证的凭证及链上认证，简化身份验证过程。在 DID 管理 中，用户拥有对自己身份的完全控制，能够自主管理，减少数据泄露的风险。对于移动端用户，APP 身份柜提供了多身份（VC）的灵活切换功能，让用户可以轻松管理多个身份和账户。 后量子密码系统 随着量子计算的发展，传统加密算法面临被破解的风险。而后量子密码学致力于开发能够抵御量子计算攻击的密码算法，如格基密码和哈希签名等。抗量子密码（PQC），也称后量子密码，是能够抵抗量子计算对公钥密码算法攻击的新一代密码算法，旨在研究密码算法在量子环境下的安全性，并设计在经典和量子环境下均具有安全性的密码系统。其基于数学原理，以软件和算法为主，依赖计算复杂度，易于实现标准化、集成化、芯片化、小型化和低成本，能够提供完整的加密、身份认证和数字签名等解决方案。PQC 的出现，可有效地防止攻击者窃取和破解加密信息，为网络信息安全提供保障。除了抗量子密码外，将现有密码系统向能够抵御量子计算攻击的后量子密码系统迁移也是一项重要任务。后量子迁移过程需对现有的密码系统进行评估和分析，确定其在量子计算机攻击下的脆弱性，并设计出能够抵御量子攻击的替代方案。Authing 将 PQC 与身份认证相结合，在后量子迁移、后量子密码算法与标准化研究等领域拥有充足的技术储备，掌握后量子密码算法和协议及其性能特点等，及国内外相关标准化进展并研究了密码系统风险评估、迁移策略等制定了相关方案，为企业提供高质量密码系统。    

Authing 签约安东石油，助力全球领先一体化油田技术企业构建员工统一身份认证平台，为安东石油提供高效、安全的身份认证解决方案，快速实现身份认证，提升员工工作效率。 安东石油技术（集团）有限公司成立于 1999 年，总部位于北京，是一家在香港联交所主板上市的专业油田技术服务公司，是具有核心竞争力的、充满活力的、持续快速发展的高新技术企业，是国有油田服务力量的有益补充。公司拥有专利所有权 63 项，专利申请权 176 项。公司先后承担 5 项国家火炬计划项目，获 3 项国家创新基金支持，研发了多项国家级重点新产品。作为全球领先的一体化油田技术企业，安东石油面临着复杂的身份管理和访问控制需求，尤其在跨国项目中需确保敏感数据和关键应用的访问安全。Authing 的身份认证平台通过统一员工身份、强化身份验证流程，减少了重复验证的麻烦，优化了员工的日常操作体验。并且 Authing 根据不同业务场景定制多层次验证机制，防范潜在的内部和外部安全风险。通过动态风险评估，Authing 确保了安东石油在各种环境下兼具灵活性与安全性，为其全球运营提供稳定可靠的安全基础。借助 Authing，安东石油不仅提升了内部运营效率，还进一步增强了其应对复杂身份管理挑战的能力，推动其在数字化进程中迈向更高标准的安全管理水平。  

随着工业和信息化部发布《工业和信息化领域数据安全事件应急预案（试行）》（以下简称《应急预案》），数据安全成为企业运营中的核心议题。在数字经济蓬勃发展的背景下，工业和信息化领域涉及的关键数据数量庞大，企业面临的数据安全风险也愈发复杂，包括内部数据泄露、外部恶意攻击和操作失误等潜在威胁。企业对于数据安全的需求正在显著增加，数据安全管理正逐步从“被动响应”转向“主动预防”。而身份在数据安全管理中占据着核心地位，被视为连接企业数据资产、用户行为、权限管理的关键纽带。如何在快速构建身份安全应急体系，实现安全闭环，成为企业关注的重点。 01.《应急预案》出台目的 全流程应急管理机制 《应急预案》要求企业和机构在面对数据安全事件时，能够制定涵盖事前、事中和事后的全流程应急管理机制。在事前阶段，企业需做好风险评估和监测，建立预警机制；在事中阶段，要迅速响应，采取有效措施遏制事件的蔓延；在事后阶段，需对事件进行总结和分析，提取教训，以改善未来的应对能力。全流程管理理念强调了预防、响应和恢复之间的紧密联系，形成一个循环改进的安全管理体系。 明确组织体系与职责分工 《应急预案》强调了建立清晰的组织体系，以确保各方在数据安全事件中的角色和职责分明。数据安全事件应急工作应当坚持统一领导、分级负责，统一指挥、密切协同、快速反应、科学处置的工作原则。坚持“谁管业务、谁管业务数据、谁管数据安全”，落实数据处理者的数据安全主体责任。充分发挥各方面力量，共同做好数据安全事件应急处置工作。工业和信息化部、地方行业监管部门、数据处理者及应急支撑机构等各类主体需明确各自的责任与义务。 风险监测与预警 《应急预案》要求地方行业监管部门、工业和信息化领域数据处理者、数据安全应急支撑机构加强数据安全风险监测、研判和上报，分析相关风险发生数据安全事件的可能性及其可能造成的影响。工信部统筹建立数据安全风险预警机制，根据紧急程度、发展态势、数据规模、关联影响和现实危害等，将数据安全风险预警等级分为四级：由高到低依次用红色、橙色、黄色和蓝色标示，分别对应可能发生特别重大、重大、较大和一般数据安全事件。 02.Authing 助力企业实现身份安全应急体系快速落地 基于事件驱动的身份自动化基础设施 在身份安全事件的管理过程中，全流程应急管理不仅需要事前的预防和事后的分析总结，更需要在事中阶段的灵活响应。Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。事件驱动的架构能够将身份管理中的各类触发事件（如异常登录检测、权限变更、账户状态变化等）快速转化为自动化工作流中的操作，确保事件一旦触发，系统即可根据预设的安全策略迅速启动相应的应对流程。例如，当监测到潜在的登录异常时，系统可以立即限制访问、通知安全管理团队，并启动身份验证流程，减少可能的安全风险。并且 Authing 平台的设计核心在于「低代码、无代码」的设计理念和可视化、拖拉拽的编排方式，通过简单的拖拉拽操作，企业可以在平台上创建和调整各种身份管理流程，以适应业务需求的变化和风险场景的复杂性。不仅大大简化了身份管理的配置流程，还让企业能够轻松适应政策或业务需求的更新，从而实现持续优化和敏捷迭代。 持续自适应多因素认证（CAMFA）- 构建身份安全新范式 预案明确指出，在事件全过程管理中，实时监控和预警机制是构建高效应急管理体系的基石，能够让企业在威胁未完全形成时进行预防和响应，最大程度地减少数据安全事件带来的影响。「持续自适应多因素认证（Continuous Adaptive Multi-Factor Authentication，CAMFA）」正是基于这一理念实现的一种安全身份验证方法，它在自适应多因素认证（基于上下文属性判断当前安全状况以增加因素认证）的基础上增加了实时风险评估技术对用户进行动态评估安全系数。通过实时监测用户的访问模式、数据传输情况和系统操作记录，企业能够快速识别出任何异常的行为。Authing 通过全方位扫描和分析用户身份和行为，采用无监督学习方式，深度学习用户的特定行为模式（例如登录时间、习惯、设备、生物特征等），以主动发现合法账号是否受到非法使用的威胁。持续自适应信任体系能确保企业实现真正意义上的零信任安全环境，而实现持续自适应信任体系的最佳实践则是实施「持续自适应多因素认证」。通过持续自适应多因素认证提供持续风险评估能力来判断外部风险信号和内部数据，同时基于「持续自适应多因素认证」的策略引擎来根据组织设定的安全策略对这些风险信号和访问请求进行评估。 超细粒度分级管控，实现动态精准权限管理 单一、固定的用户旅程已无法满足业务的快速发展需求，权限管理必须具备动态调整的能力，突破对传统权限管理思维的突破，适应不断变化的业务场景和岗位职责。Authing 提供的「管理员权限」功能，以业务为导向，通过角色和权限的细粒度分配，使权限管理回归到对业务实际需求的精准支持。系统将各类权限聚合起来组成「角色」，给后台管理员（员工）赋予不同的角色，就可以控制其在系统中可接触的空间范围，确保他们「权责分明」、「不越界」。Authing 新版管理员不仅不局限于超级管理员的权限分配与管理，还支持协作管理员将自己拥有的权限继续授权，达到层层下放的授权效果，实现灵活又严谨的权限管理能力。从全局考虑数据资产，基于场景对业务流程不断进行切片细化，用数据优化、重构，推动整个商业模式，实现细粒度的权限管理，以用户为中心，实现全场景业务权限的集中化、可视化、个性化。 完善审计日志，保障数据安全合规 Authing 提供「用户行为日志」和「管理员日志」，以便 IT 人员排除问题，追溯问题的起因，让身份管理更加安全合规。Authing 身份云的解决方案可以追踪用户在系统中的行为，并详细记录用户访问行为，提供详尽的审计日志，支持多维度查询和分析。通过对用户行为的实时监控和日志记录，审计中心可以及时发现并应对潜在的安全威胁和违规操作。管理员可以通过审计日志了解系统的使用情况，识别异常活动，确保系统的安全性和稳定性。这些日志可以用于合规审计，确保企业在个人信息保护相关法律和法规方面遵守规定。同时，Authing 身份云还提供了报告和分析功能，可以帮助企业及时发现和解决潜在的安全风险。 多项国内外资质认证，满足数据法律合规 Authing 满足多项国际安全资质，包括 ISO 9001 信息安全认证、信息安全等级保护三级认证、欧盟 GDPR 数据保护条例、国家商用密码管理局商用密码产品认证等。同时 Authing 还获得多项国内外权威机构认证，包括但不限于金融新创实验室优秀解决方案、共同制定中国信通院牵头的《身份治理能力成熟度模型》标准、加入万维网联盟，将共同制定应用安全、身份验证等国际标准等。        

Authing 签约采埃孚，助力世界领先汽车供应商之一构建客户统一身份认证平台，共同打造一体化的客户身份认证管理平台，实现高效、安全、灵活的身份管理体系。 采埃孚是一家活跃于全球的技术集团。该公司为乘用车、商用车和工业技术的移动性提供高度开发的产品和系统。凭借全面的产品系列，采埃孚主要为汽车制造商、交通供应商和运输和交通领域的新兴公司提供服务。2023 年，采埃孚实现销售额 466 亿欧元，在全球拥有约 168700 名员工，在 31 个国家设有 162 个生产基地。在 2024 年发布的《财富》全球 500 强排行榜中，采埃孚集团排名第 295 位。作为国内替代 Auth0 的最佳实践，Authing 致力于为企业提供灵活、安全的身份管理服务。Authing 帮助采埃孚更加高效地管理和验证客户身份，提供灵活认证 Pipeline 编排功能，支持多步骤、多条件的灵活身份认证流程定制，能够根据用户行为、地理位置、设备特征等条件，进行多因素身份验证，从而有效降低了身份被盗用的风险。对于企业而言，这意味着不仅能够提供更加精细化的用户验证流程，还能减少用户登录过程中的摩擦，提高用户体验，增强客户黏性。同时，Authing 为采埃孚提供的 M2M 授权功能，支持设备之间的安全互联，可以根据不同的设备类型、使用场景以及访问频率来设置不同的授权策略，实现定制化的设备管理。无论是智能终端、传感器还是应用服务器，Authing 的 M2M 授权都能满足不同设备的安全接入需求，为企业构建一张安全可靠的设备互联网络。

2024 年 10 月，长城战略咨询（GEI）发布《2023 中国潜在独角兽企业研究》报告。在“ 2024 东北亚（沈阳）人才交流大会暨中国潜在独角兽企业发展大会”上，长城战略咨询重磅发布《 GEI 中国潜在独角兽企业研究报告 2024 》，揭示了中国潜在独角兽企业群体的最新发展态势。Authing 作为国内身份云（IDaaS）厂商入选中国潜在独角兽企业榜单。目前，Authing 已经连续三年被评选为中国潜在独角兽企业。 《报告》认为，潜在独角兽企业是新赛道的引领者，以新技术、新模式重塑价值链，以场景创新开拓新市场、创造新业态。潜在独角兽企业是中国新动能的重要组成部分，也代表了中国经济的未来。2023 年中国潜在独角兽企业中，前沿科技领域的企业数量占比超过 85% 。有近两成潜在独角兽企业为专精特新“小巨人”企业，有近六成潜在独角兽企业为国家高新技术企业。Authing 身份云作为国内首个事件驱动的云原生身份治理平台，基于图模型的 PaaS 化编排引擎，实现身份全生命周期的自动化管理和灵活连接，使企业能够自定义并自动化身份管理流程，实现灵活、敏捷的身份控制，为企业构建了先进的身份安全管理能力，极大提升了企业在身份治理上的效率。并且 Authing 身份云利用行为数据分析和 AI 引擎，通过深度分析用户行为数据实时监测风险，为企业提供全场景、高安全、高性能的身份治理解决方案。

微信作为目前全国使用率最高的个人通讯软件之一，几乎绑定了每个人的登录账号，无论是网站还是游戏、媒体平台等第三方平台，几乎都会在登录界面中添加“微信登录”的按钮。而微信登录为用户带来了极大的便利。用户不再需要记住多个账号和密码，操作更简单。同时微信作为可信的中间平台，用户也可以更放心地使用，避免个人信息被其他应用盗取。企业网站支持微信等第三方登录方式显得尤为重要。 01.基于微信生态，你会面临怎样的问题？ 当你基于微信生态开发一个创新应用时，如何充分利用微信的多场景开放能力，以及如何处理复杂的 OpenID 和 UnionID 机制，都是必须解决的重要问题。微信的生态系统庞大且登录场景多样化，包括 PC 端网站扫码登录、公众号网页授权、小程序内授权等，不同场景需要调用不同的接口。这种复杂性无疑增加了开发者的理解难度和开发成本。作为一名微信生态的开发者，在为你的应用实现微信登录能力时，你可能会面临重重困惑： 不同类型应用在微信的创建和配置流程是什么？ 作为不同类型应用的开发者，在实现微信登录能力时，有哪些方式可供选择？ 各种类型的微信登录方式，要怎么完成配置，怎么实现登录？ 微信用户在登录你新开发的应用后，你要如何管理微信生态中的用户身份？ 02.Authing 微信生态功能全景 如果你有上述困惑不知如何下手，Authing 微信生态全场景能力可以助力你实现各个场景的微信登录流程。下表是 Authing 支持的全场景的微信生态操作流程以及对应场景下可供选择的微信登录能力类型。你可以直接点击链接前往了解所需功能。（https://docs.authing.cn/v2/guides/wechat-ecosystem/） 03.Authing 微信生态账号体系 微信用户账号体系的基本概念微信提供 OpenID 和 UnionID 作为用户标识。两者区别如下： OpenID· OpenID 是微信用户在不同类型产品的身份 ID。· 微信用户访问公众号、小程序、移动应用、网站应用、小商店等都会有唯一的 OpenID 。· 同一个微信用户访问不同的产品生成的 OpenID 也是不一样的。例如，对于不同公众号，同一用户的 OpenID 不同；同理，对于不同的小程序，同一用户的 OpenID 也是不同的。 UnionID· UnionID 是微信用户在同一个开放平台下的产品的身份 ID。· 如果开发者拥有多个移动应用、网站应用和公众帐号（即公众号和小程序），可通过 UnionID 来区分用户的唯一性。因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号，用户的 UnionID 是唯一的，即同一用户对于同一个微信开放平台下的不同应用，UnionID 是相同的。形象来说，一个独立的微信用户，在微信的不同登录场景下的唯一标识可以用下图展示： Authing 基于微信生态的账号解决方案根据「用户在 Authing 用户池是否存在」以及「你的微信应用是否已经接入微信开放平台」，针对你的账号处理，有四种场景： 当微信生态的用户通过微信登录方式进入到 Authing 用户池，有四种可能的场景，通过两个维度进行考量： 该用户在微信开放平台是否拥有 UnionID？ 该用户在 Authing 用户池是否是新用户？由此分为四种场景： 用户在微信开放平台有 UnionID，是 Authing 用户池中的新用户（第一象限）。在这种情况下，用户首次通过微信登录已经集成在 Authing 的应用时，将会在你的 Authing 用户池中创建新账号，该用户账号信息中会包含从微信开放平台上获取到的该用户的 OpneID 和 UnionID。 用户在微信开放平台无 UnionID，是 Authing 用户池中的新用户（第二象限）。在这种情况下，用户首次通过微信登录已经集成在 Authing 的应用时，将会在你的 Authing 用户池中创建新账号，该用户账号信息会同时包含从微信接口获得的 OpneID，但由于该微信应用并未加入微信开放平台，因此这个账号信息并不包含 UnionID。 用户在微信开放平台无 UnionID，是 Authing 用户池中的老用户（第三象限）。在这种情况下，用户通过微信登录已经集成在 Authing 的应用时，由于该账号已存在，因此登录时会通过 OpneID 和 UnionID 进行匹配。当同一个微信账号由于其 OpneID 和 UnionID 的具备情况不一、而能够在你的用户池中对应多个账号时，将会支持账号选择，选择完成后会完成登录。 在什么场景下，Authing 微信生态能够帮到你？ing 用户池中的老用户（第四象限）。在这种情况下，用户通过微信登录已经集成在 Authing 的应用时，由于该账号已经存在，并且并不会出现不存在 UnionID 的情况，因此会通过 UnionID 直接匹配成功并完成登录。 04.在什么场景下，Authing 微信生态能够帮到你？ Authing 针对微信生态的复杂场景，在前端为开发者提供了简洁、统一的 SDK，在后端基于 OpenID、UnionID、手机号三个维度自动处理同一身份识别、账号合并等逻辑。开发者只需要调用前端 SDK，而无需操心各种复杂的身份识别逻辑。 PC 网站使用微信扫码登录微信 PC 扫码登录可以让用户使用微信身份安全登录第三方应用或网站，在 Authing 中开启微信扫码登录之后，通过微信扫码登录，开发者可以借助 Authing 的平台优势，轻松对接微信生态的多场景登录能力，同时简化了开发和集成的流程。Authing 内置的高效 API 帮助开发者快速获取微信用户的 OpenID、UnionID 等身份标识，解决了不同应用场景中复杂的用户身份管理问题，实现统一的身份认证和用户数据管理。 PC 网站使用小程序扫码登录这是 Authing 的一个开创性的设计，在 Authing 中开启扫描小登录二维码登录后可以获得微信官方的实名用户信息， 用户一键授权即可以真实号码完成注册或者登录，为开发者建立以手机号码为基础的账号体系。相比传统的账号密码登录方式，小程序扫码登录极大地提升了用户体验。用户不需要记忆繁杂的账号或密码，直接通过微信扫码并授权即可登录。基于微信的实名制认证，小程序扫码登录能够让开发者获取经过微信认证的用户信息，包括手机号码等关键数据。开发者可以在不牺牲用户体验的前提下，确保用户身份的真实性，并且为后续的身份管理、营销活动等打下坚实基础。 移动端拉起小程序登录移动端拉起小程序登录是建立以手机号为核心的用户体系的关键方式，尤其在如今移动互联网高度普及的背景下，越来越多的应用和服务希望借助手机号作为用户身份的基础进行统一管理。通过手机号登录，能够确保用户的真实性，同时也为后续的账号管理、营销推广等奠定了基础。Authing 帮助开发者简化这一过程，使得开发者能够轻松实现移动端与微信小程序之间的无缝衔接，快速获取用户的授权手机号，建立以手机号为基础的账号体系。Authing 通过 SDK 为开发者大大降低了开发的复杂度，一行代码即可通过移动端获取用户在小程序中授权的手机号，建立以手机号码为基础的账号体系。 移动端拉起微信登录移动端拉起微信登录是应用开发中实现便捷、安全用户身份验证的重要方式之一，特别是在以微信为主要社交平台的中国市场，微信登录已经成为各类应用接入的重要功能。为满足这一需求，Authing 为开发者提供了极为简便的解决方案，支持在 iOS 或 Android 应用中快速跳转到微信登录页面，并轻松获取用户的微信信息。通过集成 Authing 移动端 SDK，开发者可以大幅简化微信账号接入的流程和技术难度。Authing 的移动端微信登录功能不仅操作简便，开发者只需调用几行代码，便可轻松完成微信登录的集成，快速引导用户从移动应用跳转至微信授权页面。 微信内网页使用微信授权登录用户在微信客户端中访问第三方网页、公众号可以通过微信网页授权机制，来获取用户基本信息，进而实现业务逻辑。Authing 针对这一场景，为开发者提供了便捷高效的解决方案。通过 Authing 提供的 SDK，开发者可以轻松集成微信网页授权登录功能，快速获取用户信息并完成登录操作。当用户在微信客户端中访问第三方网页、公众号等应用场景时，Authing 的微信网页授权登录机制能够自动引导用户授权。用户只需点击授权按钮，系统便会获取用户的微信账号信息。 微信小程序内登录微信小程序内登录是企业和开发者在微信生态中获取用户身份信息、快速完成用户注册和登录的一种重要方式。为应对这一需求，Authing 提供了一套完整的 SDK，专门帮助开发者简化微信小程序登录的集成流程，并高效获取用户的身份信息。通过 Authing 的 SDK，开发者可以轻松实现用户身份验证，快速建立以手机号码为基础的账号体系，进一步增强用户的体验和数据管理能力。整个授权登录流程经过优化，使得用户体验更加流畅，用户只需简单的授权操作，便可以使用其微信账号快速登录小程序，无需额外输入复杂的账号或密码。 05.众多合规认证，保障身份安全 毋庸置疑，客户数据安全性和合规性是大多数公司的首要考虑因素。Authing 在产品中内置了先进的安全性，因此您无需为您的用户和业务安全忧虑。 行业标准协议：通过采用支持 OAuth 和 OpenID Connect 等行业认证标准的身份平台，提高业务运营和执行的一致性和连续性。 合规性和认证：Authing 拥有多项国内国际合规认证，包括国家三级等保、SOC 2、GDPR、ISO 9001、CCPA、PCI、HIPAA 和 FERPA 等，誓要保障每一位用户、每一个业务的安全。 公共和私有云：在 Authing 的公共云、我们的私有云或您的 AWS 环境中托管您的应用。我们高度可用的多租户云服务每天可以处理大量交易。