IDaaS 云端身份认证，你了解这个新兴的市场吗?

云端身份认证，也叫IDaaS（Identity As a Service）。这是个很超前的概念，试想下未来做APP、网站或其他系统的时候直接通过云端API授权用户是个什么样的场景。你可以免掉写各种平台的OAuth登录，免掉设计各种字段来满足不同的登录方式，免掉检查安全问题，如果流量很大，你甚至不用操心该怎么处理并发问题，这一切都在云端为你做好了。

这就和将服务托管在云端一样。一开始也没有人愿意把自己的系统放在一个第三方平台运行，但最终，市场让阿里云成了全球第三大云计算厂商，这难道还不能说明问题吗？马化腾也说，云计算就是未来的水和电，在人人都需要水和电的今天，互联网企业也不会错过。

未来的市场一定是细分化的，越细分的市场，所能产生的价值也就越大。因为每个组织得以专注，得以做的更好。而云端身份认证就是这样一个构建软件基础设施的细分市场。目前，美国有两家云端认证厂商，一家叫Okta，已上市；另外一家叫Auth0，一周前刚获得了5500万美金D轮融资。可见，云端身份认证的市场在海外已经被打开，这同时也是中国的机会。在中国，sso360是认证行业的领头羊，其已在新三板上市。但其主打并非云端认证，而是SSO（Single Sign On，单点登录），所以其主要营业来源还是偏向于定制开发。纵观中国市场，比较有潜力的只有九州云腾和Authing。

无论是sso360，还是九州云腾、Authing，其都使用了 Docker 微服务架构，提供了各种语言的SDK供开发者接入；目的都是帮助企业或个人快速开发核心业务。

身份认证和授权工作，在互联网业务中不是核心业务，却是很重要的流程。即使如今互联网上有很多开放授权协议如OpenID、OAuth1&2、SMAL等，但是给开发人员的技术选型造成了困难，后期的维护成本也不小。认证的场景非常多，软件、游戏、社区各行各业都需要，但是我们知道现在的用户都是比较懒的，如果能实现OAuth让用户点一下是最好的。而如果要实现OAuth，开发者就必须要面临大量工作。如仅仅微信的第三方登录就包括了Android、iOS、网页、移动网页、内嵌网页等多种方式，为了提升用户体验和覆盖更多的用户，互联网公司不得不都实现一遍。而每家公司对此的重复实现，无疑是一种巨大的资源浪费。这个时候，云端身份认证就派上用场了。他们已经将所有这些复杂的流程封装到了一起，你只需要调用接口即可，不用操心实现。

但是，不是说仅仅实现了用户注册、登录的过程就完了。CEO、首席增长官等都需要一个「用户管理界面」来知道详细的用户数据，并以此为目标加大运营和销售力度。这个时候也必须让开发者开发全套的用户管理界面，包括了数据可视化、资料的增删查改等操作。除了用户能感知到的登录／注册框外，一家公司还需要更多的用户信息。比如用户的IP、用户所处的地理位置、用户的登录次数、用户来源、用户注册时间、最后登录时间等等。而这每一项工作都需要巨大的工作量，比如在查询用户地理位置时为了保证速度，必须要上一个消息队列来异步处理。一旦上了消息队列，那么对于运维人员来说，也是加重了工作负担。

你以为这就完了？还早着呢。现在大多系统是支持多种登录方式登录的，比如用手机、邮箱、用户名和第三方登录都可以找到同一个账户，这其中是存在一些冲突的，你必须再设计一些逻辑以将这些字段联关联到一起。如果是邮箱注册，很多企业是有邮件发送的需求的。这个时候就涉及到邮件服务器的问题了。邮件服务器怎么搭建？搭建成什么样？量大后怎么保证稳定性？邮件的模版是什么样？运营人员是否可以随时编辑？邮件要支持哪些模版？这些问题将一直困扰开发团队、运营团队和运维团队。

所以为什么不将以上工作托管到云一步到位呢？这也是为什么云端身份认证是未来趋势的原因。

阻挡人们使用云端认证的大概只有一个忧虑：安全和隐私。

很明显，使用云端认证必然会将自己的用户数据导入到第三方平台，这对于安全性和隐私性是个巨大的挑战。从用户的角度来说，我的信息不仅要放到我的注册商里面，还有一个后面的服务商拥有，凭什么？从接入方的角度来看，我不仅要拱手给出我的用户数据，还要给你钱，你如何保证你不会侵犯我和用户的隐私，如何保证不查看我们的运营数据？从服务商的角度来看，如何让终端用户和接入用户信任，是最大的问题。

好在我们有区块链、以太坊和智能合约。我们都承认人的行为和欲望是无止尽且很难规范的，那就索性让计算机来规范人的行为罢。智能合约在这里就可以充当一个法官的角色。如果接入方担心认证服务商会查看数据，那么可以直接通过智能合约规定，只有项目的拥有者可以查看数据，其他人无权限，智能合约一旦发布，无法进行任何更改，所以一旦发布，这个制度就会永远存在。所以这就解决了用户和接入方关于隐私的忧虑，除了他们自己，其他人没有权限可以查看。

基于区块链的身份认证已经写入今年工信部的区块链白皮书中了，这是个神奇而又有很大导向性的事情。文中写道：“随着互联网的迅速发展，数字身份在各行各业中的应用变得越来越普遍。然而，数字身份在实际应用中存在个人隐私与数据主权的问题 。例如，个体在各个网站填写个人欣喜建立数字身份时，数据被重复存储在各个网站中，一方面造成了资源浪费，另一方面使个人隐私无法得到保障。在上述情况下，个人信息数据被存储在第三方网站中而非属于个人，存在数据被滥用和盗用的可能性。”。

白皮书中提到的解决办法是“在验证环节，利用非对称加密技术，验证请求方无需原始数据，仅通过对比数字身份的哈希值即可完成身份验证，消除了个人隐私泄漏的风险。此外，区块链可以消除由单方使用虚假信息的可能性，例如地址信息、电话号码等。这有助于防止身份盗用，消除了个人数字身份在不同场景使用时信息不一致的风险”。

这是可行且有效的措施。

综上所述，随着文中提到的组织对认证行业的摸索和区块链相关生态的发展，云端认证拥有即将走入千家万户的趋势，让我们拭目以待。

什么是 Authing？

Authing 提供专业的身份认证和授权服务。 我们为开发者和企业提供用以保证应用程序安全所需的认证模块，这让开发人员无需成为安全专家。 你可以将任意平台的应用接入到 Authing（无论是新开发的应用还是老应用都可以），同时你还可以自定义应用程序的登录方式（如：邮箱/密码、短信/验证码、扫码登录等）。 你可以根据你使用的技术，来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时，Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

<div align=center>Authing 在应用交互中的位置</div> * 官网：http://authing.cn * 小登录：https://wxapp.authing.cn/#/ * 仓库：** 欢迎 Star，欢迎 PR ** * https://gitee.com/Authi_ng * https://github.com/authing * Demo： * https://sample.authing.cn * https://github.com/Authing/qrcode-sample * 文档：https://docs.authing.cn/authing/ ### 欢迎关注 Authing 技术专栏 

转载于:https://my.oschina.net/authing/blog/3097387