基本概念
AliyunAccount/AliyunRAMUser:阿里云账号和RAM用户,也称为租户;
Domain:域。一个Domain拥有独立的访问入口、资源空间、用户体系等,Domain间相互独立;使用域标识(DomainId或domain_id)来唯一标识一个domain;
SelfBuildApp:PDS Domain拥有者自己开发的应用,最终用户操作时不需要进行授权操作;
ThirdPartyApp & Consent: 第三方开发的应用,使用OAuth2.0协议访问PDS,需经过最终用户授权(Consent)后才能访问对应用户的数据;
Account:Domain下的账号,账号对应用户的登录凭证。账号是可选的,当开启使用PDS账号体系、第三方账号体系或需要使用PDS的官方应用或PDS应用市场的应用时账号是必需的;
Group/User/Role:Domain下的用户组、用户、角色,当前只支持三种角色(superadmin, admin, user);
Drive:用户文件存储空间;
Share:共享;
File & Folder:文件和文件夹;
Recyclebin:回收站;
Revision:文件版本。
Domain数据存储方式
Domain提供两种数据存储方式,当前只支持StandardMode(标准模式)。
访问身份分类
以应用身份访问:应用在调用PDS时,不需要用户干预,如后端服务、后台进程、命令行等,请求是代表应用。
以用户身份访问:应用在调用PDS时,需用户登录、用户授权等,请求代表最终用户,一般在端侧,如手机端、PC端等(非服务端)。
身份认证方式分类
身份分类 | 认证方式 | 说明 |
以应用身份 | JWT签名认证 | 近期推出 |
以应用身份 | AccessKey签名认证 | 使用阿里云的RAM和STS,请参见访问控制产品文档 |
以用户身份 | 账号密码 | 使用PDS账号体系的账号密码认证 |
以用户身份 | OAuth2.0认证 | 使用标准的OAuth2.0协议认证 |
应用分类
1. 按应用所属权分
自建应用:PDS Domain拥有者自己开发的应用,最终用户操作时不需要进行授权操作;
第三方应用:第三方开发的应用,使用OAuth2.0协议访问PDS,需经过最终用户授权(Consent)后才能访问对应用户的数据。
2. 按应用开发类型分
在使用OAuth2.0认证时,对不同的应用开发类型,安全要求有差别,所以需要明确应用的开发类型
Native App:移动端或桌面端应用;
WebServer App:Web服务端应用;
WebBrowser App:Web浏览器应用。
3. 按访问身份来源分
JWT App:当使用应用身份访问时,支持JWT签名或阿里云AccessKey签名两种认证方式,当使用JWT签名认证时,需创建JWT类型的App。
用户体系
当涉及以用户身份方式访问时,需明确怎么构建用户体系,PDS支持多种用户体系以及用户体系间组合使用。
自建用户体系:租户自己维护账号信息,每个账号同步在PDS维护一个User,PDS基于User进行权限管理;
PDS用户体系:PDS提供了账号注册、登录、绑定第三方身份系统账号的功能,可直接使用;
第三方用户体系:如钉钉、RAM子用户等,PDS提供了和第三方身份系统对接机制,支持第三方身份系统账号登录。