基本概念
基本概念
AliyunAccount/AliyunRAMUser:阿里云賬號和RAM用戶,也稱為租戶;
Domain:域。一個Domain擁有獨立的訪問入口、資源空間、用戶體系等,Domain間相互獨立;使用域標識(DomainId或domain_id)來唯一標識一個domain;
SelfBuildApp:PDS Domain擁有者自己開發(fā)的應用,最終用戶操作時不需要進行授權操作;
ThirdPartyApp & Consent: 第三方開發(fā)的應用,使用OAuth2.0協(xié)議訪問PDS,需經(jīng)過最終用戶授權(Consent)后才能訪問對應用戶的數(shù)據(jù);
Account:Domain下的賬號,賬號對應用戶的登錄憑證。賬號是可選的,當開啟使用PDS賬號體系、第三方賬號體系或需要使用PDS的官方應用或PDS應用市場的應用時賬號是必需的;
Group/User/Role:Domain下的用戶組、用戶、角色,當前只支持三種角色(superadmin, admin, user);
Drive:用戶文件存儲空間;
Share:共享;
File & Folder:文件和文件夾;
Recyclebin:回收站;
Revision:文件版本。
Domain數(shù)據(jù)存儲方式
Domain提供兩種數(shù)據(jù)存儲方式,當前只支持StandardMode(標準模式)。
訪問身份分類
以應用身份訪問:應用在調用PDS時,不需要用戶干預,如后端服務、后臺進程、命令行等,請求是代表應用。
以用戶身份訪問:應用在調用PDS時,需用戶登錄、用戶授權等,請求代表最終用戶,一般在端側,如手機端、PC端等(非服務端)。
身份認證方式分類
身份分類 | 認證方式 | 說明 |
以應用身份 | JWT簽名認證 | 近期推出 |
以應用身份 | AccessKey簽名認證 | 使用阿里云的RAM和STS,請參見訪問控制產(chǎn)品文檔 |
以用戶身份 | 賬號密碼 | 使用PDS賬號體系的賬號密碼認證 |
以用戶身份 | OAuth2.0認證 | 使用標準的OAuth2.0協(xié)議認證 |
應用分類
1. 按應用所屬權分
自建應用:PDS Domain擁有者自己開發(fā)的應用,最終用戶操作時不需要進行授權操作;
第三方應用:第三方開發(fā)的應用,使用OAuth2.0協(xié)議訪問PDS,需經(jīng)過最終用戶授權(Consent)后才能訪問對應用戶的數(shù)據(jù)。
2. 按應用開發(fā)類型分
在使用OAuth2.0認證時,對不同的應用開發(fā)類型,安全要求有差別,所以需要明確應用的開發(fā)類型
Native App:移動端或桌面端應用;
WebServer App:Web服務端應用;
WebBrowser App:Web瀏覽器應用。
3. 按訪問身份來源分
JWT App:當使用應用身份訪問時,支持JWT簽名或阿里云AccessKey簽名兩種認證方式,當使用JWT簽名認證時,需創(chuàng)建JWT類型的App。
用戶體系
當涉及以用戶身份方式訪問時,需明確怎么構建用戶體系,PDS支持多種用戶體系以及用戶體系間組合使用。
自建用戶體系:租戶自己維護賬號信息,每個賬號同步在PDS維護一個User,PDS基于User進行權限管理;
PDS用戶體系:PDS提供了賬號注冊、登錄、綁定第三方身份系統(tǒng)賬號的功能,可直接使用;
第三方用戶體系:如釘釘、RAM子用戶等,PDS提供了和第三方身份系統(tǒng)對接機制,支持第三方身份系統(tǒng)賬號登錄。