概述
认证与授权流程图展示了 BitzOrcas.Modern 的安全管线。请求到达后首先通过三 Scheme 认证(JWT Bearer 用于用户、HMAC 用于服务间调用、ApiKey 用于外部集成),然后进入统一授权决策服务。
授权服务内部包含四个评估器:RbacPolicyEvaluator、AppScopePolicyEvaluator、AbacPolicyEvaluator 和 ReBacPolicyEvaluator,采用默认拒绝策略。
关键要点
- JWT Bearer — 用户认证,Claims 提取用户身份和租户信息
- HMAC — 服务间认证,防重放(nonce + 时间窗口)
- ApiKey — 外部系统集成,支持作用域限制
- 授权评估器按优先级执行,任一评估器拒绝则整体拒绝
- X-Correlation-ID 在认证阶段分配,贯穿整个请求链路