iam

module

v2.0.0 Latest Latest Go to latest Published: May 1, 2026 License: Apache-2.0

Details

Valid go.mod file
Redistributable license
Tagged version
Stable version
Learn more about best practices

Repository

github.com/FangcunMount/iam

Links

Open Source Insights

README ¶

IAM

IAM 是方寸山项目的身份与访问管理服务，当前运行单元是 iam-apiserver。它提供认证、Token/JWKS、授权判定、角色与策略管理、用户档案、ProfileLink 档案关系、IDP 集成和 SDK 接入能力。

当前事实源

类型	位置	说明
运行入口	cmd/apiserver/apiserver.go	`iam-apiserver` 进程入口
生命周期	internal/apiserver/process	配置、资源、容器、HTTP/gRPC、后台任务与关闭流程
组合根	internal/apiserver/container	AuthN、AuthZ、User、IDP、Suggest、CacheGovernance 模块装配
REST 适配	internal/apiserver/transport/rest	路由注册、HTTP handler、中间件与 debug 面
gRPC 适配	internal/apiserver/transport/grpc	proto 服务注册与 transport mapper
应用/领域/基础设施	internal/apiserver/application、internal/apiserver/domain、internal/apiserver/infra	用例、领域模型、MySQL/Redis/Casbin/JWT/Outbox 等实现
REST 契约	api/rest	OpenAPI 3.1 契约
gRPC 契约	api/grpc	Proto v2 契约与生成代码
SDK	pkg/sdk	Go SDK、服务认证、JWT 验签、AuthZ 与 Identity 客户端

冲突时优先级是：源码与运行时行为、机器契约与配置、当前维护文档、历史文档与归档材料。

核心能力

AuthN：v2 显式登录、Refresh Token、Access Token 撤销、会话校验、Service Token、JWKS 发布与管理端保护。
AuthZ：REST 与 gRPC 判定、授权快照、角色/资源/策略/assignment wire term，内部实现以 rolebinding 为准。
Identity：用户资料、儿童档案、ProfileLink 档案关系查询与写入。
IDP：微信应用配置与登录所需 IDP 能力。
Suggest：GET /api/v2/suggest/profile 儿童档案联想搜索。
CacheGovernance：只读缓存目录、family 状态和 debug 治理面。
Transactional Outbox：授权版本变更等领域事件通过 outbox relay 持久发布。

快速开始

make deps
make build
make test

开发配置默认入口：

make run APISERVER_CONFIG=configs/apiserver.dev.yaml
curl http://localhost:8080/health
curl http://localhost:8080/.well-known/jwks.json

常用验证：

make docs-hygiene
make api-validate
go test ./...

make api-validate 会运行 Spectral Docker 镜像和本仓库的 OpenAPI/路由契约检查；本机需要 Docker daemon 可用。

API 入口

REST 契约以 OpenAPI 文件为准：

gRPC 契约以 proto 文件为准：

说明性 API 文档见 api/README.md、api/rest/README.md 和 api/grpc/README.md。

文档导航

docs/README.md：文档中心与阅读路径。
docs/00-概览：系统地图、术语、代码组织和事实来源。
docs/01-运行时：启动链、REST/gRPC、HTTP 认证、健康检查和 debug 面。
docs/02-业务域：AuthN、AuthZ、ProfileLink、Suggest。
docs/03-接口与集成：REST、gRPC、授权、身份关系和 QS 接入。
docs/04-基础设施与运维：架构实践、CQRS、契约校验、迁移、Outbox。
docs/05-专题分析：认证链路、授权链路、缓存治理、SDK 等深潜材料。
docs/_archive：历史文档，非权威事实层。

开发约定

代码变更触及路由、proto、OpenAPI、配置、迁移或架构边界时，同步更新文档。
活跃文档不得依赖 docs/_archive 中的历史事实。
提交前至少运行 make docs-hygiene；涉及 API 契约时运行 make api-validate。
文档写作规范见 docs/CONTRIBUTING-DOCS.md。

Directories ¶

Path	Synopsis
api
grpc/iam/authn/v2
grpc/iam/authz/v2
grpc/iam/identity/v2
grpc/iam/idp/v2
cmd
apiserver command
internal
apiserver
apiserver/application/authn/account
apiserver/application/authn/jwks Package jwks provides Authn application use cases for JWKS publication and JWKS key administration.	Package jwks provides Authn application use cases for JWKS publication and JWKS key administration.
apiserver/application/authn/login
apiserver/application/authn/loginprep
apiserver/application/authn/onboarding
apiserver/application/authn/session
apiserver/application/authn/token
apiserver/application/authn/uow
apiserver/application/authz/authorization
apiserver/application/authz/policy
apiserver/application/authz/resource
apiserver/application/authz/role Package role 角色应用服务	Package role 角色应用服务
apiserver/application/authz/rolebinding Package rolebinding 角色绑定命令应用服务。	Package rolebinding 角色绑定命令应用服务。
apiserver/application/authz/shared
apiserver/application/authz/uow
apiserver/application/cachegovernance
apiserver/application/idp/wechatapp
apiserver/application/suggest
apiserver/application/uc/input
apiserver/application/uc/profile
apiserver/application/uc/profilelink
apiserver/application/uc/testutil
apiserver/application/uc/uow
apiserver/application/uc/user
apiserver/config
apiserver/container
apiserver/container/assembler
apiserver/docs Package docs Code generated by swaggo/swag.	Package docs Code generated by swaggo/swag.
apiserver/domain/authn/account
apiserver/domain/authn/authentication
apiserver/domain/authn/credential
apiserver/domain/authn/session
apiserver/domain/authz Package authz contains authorization business concepts that are independent from the runtime policy engine used to evaluate them.	Package authz contains authorization business concepts that are independent from the runtime policy engine used to evaluate them.
apiserver/domain/authz/policy Package policy 策略领域包	Package policy 策略领域包
apiserver/domain/authz/resource Package resource 资源领域包	Package resource 资源领域包
apiserver/domain/authz/role Package role 角色领域包	Package role 角色领域包
apiserver/domain/authz/rolebinding
apiserver/domain/idp/wechatapp
apiserver/domain/suggest
apiserver/domain/uc/profile
apiserver/domain/uc/profilelink
apiserver/domain/uc/user
apiserver/eventing
apiserver/infra/casbin
apiserver/infra/crypto Package crypto provides generic authentication cryptography adapters.	Package crypto provides generic authentication cryptography adapters.
apiserver/infra/messaging
apiserver/infra/mysql/account
apiserver/infra/mysql/casbinrule
apiserver/infra/mysql/credential
apiserver/infra/mysql/eventoutbox
apiserver/infra/mysql/jwks
apiserver/infra/mysql/policy
apiserver/infra/mysql/profile
apiserver/infra/mysql/profilelink
apiserver/infra/mysql/resource
apiserver/infra/mysql/role
apiserver/infra/mysql/rolebinding
apiserver/infra/mysql/suggest
apiserver/infra/mysql/uow/authn
apiserver/infra/mysql/uow/authz
apiserver/infra/mysql/uow/uc
apiserver/infra/mysql/user
apiserver/infra/mysql/wechatapp
apiserver/infra/redis
apiserver/infra/scheduler
apiserver/infra/sms
apiserver/infra/suggest/search
apiserver/infra/token/jwt Package jwt implements IAM access/service token encoding with JWS compact JWT.	Package jwt implements IAM access/service token encoding with JWS compact JWT.
apiserver/infra/token/keyset Package keyset implements signing-key lifecycle and JWKS publishing infrastructure.	Package keyset implements signing-key lifecycle and JWKS publishing infrastructure.
apiserver/infra/wechat
apiserver/infra/wechatapi
apiserver/infra/wechatapi/port
apiserver/options
apiserver/process
apiserver/testhelpers
apiserver/transport/grpc
apiserver/transport/grpc/service/authn
apiserver/transport/grpc/service/authz
apiserver/transport/grpc/service/idp
apiserver/transport/grpc/service/uc
apiserver/transport/grpc/service/uc/identity
apiserver/transport/rest
apiserver/transport/rest/authn
apiserver/transport/rest/authn/handler
apiserver/transport/rest/authn/request
apiserver/transport/rest/authn/response
apiserver/transport/rest/authz
apiserver/transport/rest/authz/dto Package dto 赋权相关的 DTO 定义	Package dto 赋权相关的 DTO 定义
apiserver/transport/rest/authz/handler Package handler REST API 处理器基础	Package handler REST API 处理器基础
apiserver/transport/rest/cachegovernance/handler
apiserver/transport/rest/cachegovernance/response
apiserver/transport/rest/identity
apiserver/transport/rest/identity/handler
apiserver/transport/rest/identity/request
apiserver/transport/rest/identity/response
apiserver/transport/rest/idp Package restful IDP 模块 REST API 路由注册	Package restful IDP 模块 REST API 路由注册
apiserver/transport/rest/idp/handler Package handler IDP 模块 REST API 处理器基础	Package handler IDP 模块 REST API 处理器基础
apiserver/transport/rest/idp/request Package request 定义 IDP 模块 REST API 请求结构	Package request 定义 IDP 模块 REST API 请求结构
apiserver/transport/rest/idp/response Package response 定义 IDP 模块 REST API 响应结构	Package response 定义 IDP 模块 REST API 响应结构
apiserver/transport/rest/suggest
pkg/code Package code defines shared error codes used across the iam services.	Package code defines shared error codes used across the iam services.
pkg/database/mysql
pkg/grpc Package grpc 提供通用的 gRPC 服务器基础设施	Package grpc 提供通用的 gRPC 服务器基础设施
pkg/meta
pkg/middleware 定义多个 gin 中间件	定义多个 gin 中间件
pkg/middleware/authn
pkg/migration
pkg/options
pkg/security/sanitize
pkg/server Package server 定义了所有平台通用的通用 apiserver	Package server 定义了所有平台通用的通用 apiserver
pkg
app
auth Package auth encrypt and compare password string.	Package auth encrypt and compare password string.
core Package core 实现了一些核心功能，用于apimachinery	Package core 实现了一些核心功能，用于apimachinery
event
eventcatalog
eventcodec
eventmessaging
eventruntime
flag
flag/flags
outbox
outboxcore
sdk Package sdk 提供 IAM 官方 Go SDK 的统一入口。	Package sdk 提供 IAM 官方 Go SDK 的统一入口。
sdk/_examples Package _examples 包含 SDK 使用示例	Package _examples 包含 SDK 使用示例
sdk/_examples/authz command 授权判定（PDP）示例	授权判定（PDP）示例
sdk/_examples/basic command 基础用法示例	基础用法示例
sdk/_examples/mtls command mTLS 生产环境配置示例	mTLS 生产环境配置示例
sdk/_examples/service_auth command 服务间认证示例	服务间认证示例
sdk/_examples/verifier command Token 验证示例	Token 验证示例
sdk/auth/client Package client 提供认证相关 gRPC 客户端能力。	Package client 提供认证相关 gRPC 客户端能力。
sdk/auth/jwks
sdk/auth/loginv2 Package loginv2 provides the REST AuthN v2 explicit login client.	Package loginv2 provides the REST AuthN v2 explicit login client.
sdk/auth/serviceauth
sdk/auth/verifier
sdk/authz Package authz 提供授权判定（PDP）能力。	Package authz 提供授权判定（PDP）能力。
sdk/config Package config 提供 IAM SDK 的公开配置结构与加载入口。	Package config 提供 IAM SDK 的公开配置结构与加载入口。
sdk/errors
sdk/identity Package identity 提供身份管理和档案关系查询能力。	Package identity 提供身份管理和档案关系查询能力。
sdk/idp Package idp 提供身份提供者（IDP）能力。	Package idp 提供身份提供者（IDP）能力。
sdk/internal/errorsx
sdk/internal/observability Package observability 提供可观测性支持	Package observability 提供可观测性支持
sdk/internal/transport Package transport 提供 gRPC 传输层功能	Package transport 提供 gRPC 传输层功能
tenant Package tenant 定义 IAM 多租户在请求/Casbin/授权表中的统一租户标识约定。	Package tenant 定义 IAM 多租户在请求/Casbin/授权表中的统一租户标识约定。
term
uow/gorm
version
version/verflag
web
swagger-ui

?	: This menu
/	: Search site
f or F	: Jump to
y or Y	: Canonical URL