ARCHITECTURE DOSSIER · 01

身份与访问控制

OTP、JWT、应用会话、设备身份与权限边界

RISKAUTHCODE + RUNTIME + QA
AUTH · COMPONENT TOPOLOGYowner / runtime / truth state
01Client
Web / iOS / Merchantrunning

发起邮箱、手机、钱包或设备登录

Product clientsbrowser / SwiftUI
02Edge
Nginx auth routerunning

TLS、host/path 路由与公开限流

Platform OpsEC2 :443
03Service
reits-authrisk

OTP challenge、subject、audience、scope、session

Identity PlatformGo systemd :8095
im-core verificationrunning

验证码与设备验证能力

Realtime PlatformGo / Docker
Consumer guardsrisk

二次校验 audience/scope/tenant

Every productBooking / OpenAPI / iOS
04State
Identity PostgreSQLrisk

challenge、subject、session 与审计

Identity Platformsingle EC2 state
每次跨层调用必须同时具备IDENTITYVERSIONED CONTRACTTELEMETRYFAILURE POLICY

CRITICAL SEQUENCE

真实主链与事务边界

每一步都必须能回到调用方、契约、状态 owner 与失败证据;UI 只显示服务端已经确认的真值。

  1. 01

    Client 提交邮箱/手机号与用途

  2. 02

    reits-auth 创建限时 challenge

  3. 03

    verification 通道发送并校验 OTP

  4. 04

    Auth 签发带 audience/scopes 的 token

  5. 05

    业务服务验证 token、租户与操作 scope

  6. 06

    建立可撤销应用会话并写入审计

INTERFACE REGISTER

跨项目接口与安全条件

producer、consumer、契约和 guard 同时登记;其中任何一列缺失都不能进入多团队并行开发。

ProducerVersioned contractConsumerSecurity / consistency guard
ClientPOST /otp/request · /otp/verifyreits-auth

IP + subject rate limit

reits-authJWT {sub,aud,scopes,exp,jti}Booking / Open Platform

issuer + audience + scope

iOS devicedevice session / MFA contextim-core

device binding + revoke

STATE OWNERSHIP

数据真值与恢复

OTP challengereits-auth

STOREPostgreSQL

RETENTION分钟级 TTL

RECOVERY不可恢复,重新发起

Subjects / sessionsreits-auth

STOREPostgreSQL

RETENTION按隐私策略

RECOVERY≤24h RPO target

Device sessionsim-core

STOREPostgreSQL + Redis

RETENTION至撤销/过期

RECOVERYdurable truth from DB

FAILURE MODEL

故障必须怎样收敛

TRIGGERverification 不可用

SYMPTOM验证码请求或校验失败

CONTAIN公开只读面继续;禁止降级为免认证写入

OTP synthetic + error code
TRIGGERpreview bypass 未关闭

SYMPTOM生产可绕过真实身份

CONTAIN发布阻断并轮换受影响 session

config assertion + negative test
TRIGGERscope 消费遗漏

SYMPTOM低权限 token 执行高风险动作

CONTAIN服务端 deny-by-default

跨服务 contract test

QA RELEASE GATES

不是画完架构图就算完成

这些门禁连接 UI 状态、接口负向路径、运行证据与可恢复性;发布证据必须绑定 exact commit。

AUTH-01

生产旁路必须关闭

P0 · 未完成

AUTH-02

audience/scope 负向测试

每个消费者必跑

AUTH-03

OTP 限流、过期、重放

接口 + E2E

AUTH-04

会话撤销与设备退出

iOS/Web smoke