# 5.5 单点登录与统一认证鉴权

本文档从《基础平台产品设计》第 5 章拆分而来，用于独立描述基础平台功能模块的业务需求、规则和验收标准。

上级文档：[基础平台产品设计](../基础平台产品设计.md)


## 5.5.1 功能说明

单点登录与统一认证鉴权用于支撑用户一次登录后访问多个已授权业务应用，并统一完成所有应用的 Token 认证和鉴权。

基础平台作为统一认证中心，所有接入应用不再各自独立维护登录认证逻辑。业务应用需要根据基础平台返回的认证结果和权限结果，控制用户访问。

详细流程、Token 交互规则和验收口径见：[单点登录与统一认证鉴权设计](../单点登录与统一认证鉴权设计.md)。

## 5.5.2 功能范围

- 用户统一登录
- 用户统一退出
- 登录状态维护
- Token 签发
- Token 校验
- Token 刷新
- Token 失效
- 应用访问鉴权
- 用户身份信息获取
- 当前登录用户信息获取
- 用户授权应用列表获取
- 用户菜单和权限获取

## 5.5.3 业务规则

- 用户登录由基础平台统一完成。
- 用户登录成功后，可访问已开通且已授权的业务应用。
- 用户未登录时，不可访问任何业务应用。
- 用户访问业务应用时，业务应用必须通过基础平台完成 Token 认证鉴权。
- Token 无效、过期、被注销或用户已停用时，业务应用必须拒绝访问。
- 用户退出登录后，已登录应用应同步失效或在下一次认证时失效。
- 客户停用、用户停用、应用停用、客户未开通应用、用户未授权应用时，认证鉴权均不通过。
- 用户权限变更后，应能在合理时间内影响用户后续访问。
- 业务应用不得绕过基础平台独立放行用户访问。

## 5.5.4 鉴权判断维度

基础平台认证鉴权至少需要判断：

- Token 是否有效。
- 用户是否存在且启用。
- 用户所属客户是否启用。
- 应用是否存在且启用。
- 客户是否已开通该应用。
- 用户是否拥有该应用访问权限。
- 用户是否拥有对应菜单、操作或数据范围权限。

## 5.5.5 业务系统接入要求

所有接入基础平台的业务系统均需满足：

- 登录入口统一接入基础平台。
- 用户身份校验统一通过基础平台。
- Token 认证鉴权统一通过基础平台。
- 菜单、权限、数据范围以基础平台授权结果为准。
- 业务系统可保留自身业务权限补充规则，但不得与基础平台授权结果冲突。

## 5.5.6 验收标准

- 用户一次登录后，可访问多个已授权应用。
- 未授权应用不可访问。
- Token 无效或过期时，业务应用拒绝访问。
- 用户停用、客户停用、应用停用后，业务应用拒绝访问。
- 用户退出后，再访问业务应用需要重新登录。
- 各业务应用均通过基础平台完成 Token 认证鉴权。