在当今数字化转型浪潮推动下,企业往往拥有多款自主开发或并购而来的软件产品,如何实现跨产品统一的身份认证管理,既保障业务安全,又提升用户体验,已成为企业技术架构设计中的重要课题。Shiftmove作为一家聚焦车队管理解决方案的领先企业,其通过引入FusionAuth打造统一认证层的成功经验,为行业同类企业提供了宝贵的示范。 Shiftmove的诞生源于2023年Vimcar与Avrios两家车队管理软件公司的合并。两者业务虽均立足于车队管理,但产品侧重点存在差异,Vimcar专注于车载远程信息处理和自动行驶记录簿,而Avrios则提供功能丰富的车队管理后台平台。合并后的Shiftmove不仅完成品牌整合,更面临着整合原有庞大且分散的用户体系,打通各产品的访问路径,打造一套统一、灵活且安全的身份认证服务系统,实现单点登录和多产品无缝切换的理想。 在统一认证的设计中,首先面临的是选择合适的身份提供方的问题。
Vimcar与Avrios虽都托管于AWS基础设施,但身份身份认证体系迥异,前者拥有自建的身份服务,采用不透明的访问令牌与权限服务分离方案,后者则依赖AWS Cognito直接发放JWT,且集成了企业客户常用的多种身份联盟协议如SAML。两种体系各有优劣,也植入了深深的技术和流程差异,这为后续统一带来不小挑战。 经过评估,Shiftmove选择了FusionAuth作为集中式身份管理平台。FusionAuth集成了现代认证协议支持,拥有较佳的成本效益、功能全面且兼顾实现复杂度。尤其其支持自托管和云端托管灵活部署,允许企业获得更高安全保障。Shiftmove最终决定采用FusionAuth云端托管服务,以减少安全维护负担,利用服务商的安全专长确保认证层的稳健运行。
在数据模型设计上,Shiftmove将FusionAuth设为用户基础信息的唯一可信源,管理用户名密码及基本身份验证,而复杂的产品权限则由各自产品负责统一处理。用户相关的产品注册信息对应FusionAuth中的注册关系,支持用户跨多款产品的无缝访问。此模型具备极好扩展性,可容纳更多未来并入Shiftmove生态圈的新产品,形成功能模块松耦合协作。 部署上,Shiftmove为生产、测试、预发布等不同环境分别配置独立FusionAuth实例,每个实例托管包含所有用户租户的单一目录,提升数据安全隔离。应用在FusionAuth中定义为不同产品及用户角色区分,支持灵活权限粒度。配置管理结合Terraform实现基础架构即代码,配合CI/CD流水线确保变更自动部署和版本控制。
此外,为巩固开发效率,团队利用Docker本地环境模拟运行FusionAuth与配套服务,强化本地开发体验。 迁移策略分别针对Vimcar和Avrios产品定制。Vimcar采取平滑迁移先导用户,支持零停机切换,利用功能开关逐步从旧身份服务切换到新系统,通过事件消息确保用户信息同步。Avrios因涉及时阻断企业SSO登录要求,采用停服短时迁移方案,并进行用户冲突合并管理,避免多产品用户重复账号产生。迁移后两边服务均可因故技术回滚,展现充分的风险控制能力。 在Avrios系统中,最初融合Cognito和FusionAuth的方案虽快速实现统一登录,但因多层架构和重复功能带来业务复杂度及不良开发体验,且成本较高。
经过迭代最终完全淘汰Cognito,仅使用FusionAuth结合自定义Lambda扩展,实现权限注入到JWT的定制功能,清晰简洁且经济高效。Vimcar方面则保持原身份服务的访问令牌逻辑,仅将身份认证委派至FusionAuth,前端客户端对切换透明,保证用户体验稳定。 统一认证的优势不仅体现在用户访问层面,更显著提升了安全防护能力。Shiftmove成功启用多因素认证(MFA),支持通过邮箱和认证器应用等安全手段增强验证强度,避免短信方式因隐私和安全局限选择未被采用。灵活策略允许针对高风险用户群强制实施MFA,并拓展了社交登录渠道,包括Google、Apple及企业身份提供者如Okta等,支持更前沿的无密码认证(passkeys)和密码泄露检测机制,极大增强了安全综合防御水平。优质的密码无缝登录体验,也帮助提升用户留存和转化率。
然而,这一全新认证体系的建设过程中,团队也遇到不少难题。FusionAuth基于FreeMarker的服务器端模板系统对开发者而言较为陌生,自带前端代码复杂且文档匮乏,给定制开发带来较大学习成本。相比现代前端框架如React、Angular的快速反馈,FusionAuth的模板调整需要多重部署才能生效,效率偏低。Terraform代码管理虽利于基础设施一致性,却也曾因状态同步及部署失败产生过阻碍。初期对多域名支持的限制也影响了测试环境模拟,直到谈判增加自定义域名后才彻底解决。以上经验提醒类似企业在选型和设计时需充分预判和规划。
经过半年多的运行,Shiftmove统一认证层表现稳定,用户登录顺畅,基础设施架构安全可靠。更重要的是,企业通过统一身份认证,将原本割裂的用户体验和复杂的权限管理整合起来,促进了产品间交叉销售与用户留存。随着新成员如Optimum Automotive的加入,统一的身份服务可无缝扩展,为未来生态建设积累了坚实基础。 基于Shiftmove的实践,我们可以总结出跨产品统一身份认证的关键成功因素。首先,准确评估现有认证体系异同,理清迁移边界和业务需求。其次,选择既满足功能又兼顾成本和实施周期的身份平台。
第三,确保基础设施自动化管理和多环境部署相一致,便于快速迭代和故障恢复。第四,特别注重安全策略设计,兼顾用户便捷性和防护力度。最后,充分考虑开发和维护者体验,提前制定技术升级和文档完善计划。 在全球数字经济环境下,身份认证作为信息系统安全的核心门槛,其重要性愈发凸显。统一身份认证不仅关乎技术架构,更影响着企业品牌形象、用户满意度和业务持续性。Shiftmove利用FusionAuth成功整合多产品认证入口,为企业数字化创新树立了标杆。
对于任何规模希望整合多系统认证的企业而言,深入理解并借鉴这一案例的技术细节与实践教训,必将助力实现安全、流畅、可扩展的身份认证体系,推动数字化转型走向高效稳健的未来。
![50 Years of Cordic: Algorithms, Architectures, and Applications (2009) [pdf]](/images/6B9CEA97-5DCE-4DB2-B95D-8C04E02A305E)
