9.0 KiB
iam 对接契约
负责人:ai06 关联:matrix.md、iam.proto、events.proto 裁决依据:coord-final-decisions I1-I8、president-final-rulings §2.15/§2.16/§5.5
§1 我提供什么(对外接口)
双入口策略(president §2.16):REST 供 gateway 透传 + admin-portal 直连,gRPC 供 BFF 聚合调用。同一 Application Service 同时被 REST Controller + gRPC Controller 调用,业务逻辑不重复。gateway 保持 HTTP 透传(不改为 gRPC 客户端)。
1.1 gRPC 接口(供 BFF 聚合调用)
端口 50052,P2 即启用(I1 裁决)。⚠️ 当前 iam.proto 仅 4 RPC,待 coord 补全至 12 RPC(ISSUE-005)。
| Service | RPC | 请求 | 响应 | 端口 | 消费方 |
|---|---|---|---|---|---|
| IamService | Register | RegisterRequest | AuthResponse | 50052 | api-gateway(REST 透传)/ admin-portal |
| IamService | Login | LoginRequest | AuthResponse | 50052 | api-gateway(REST 透传)/ admin-portal |
| IamService | RefreshToken | RefreshTokenRequest | TokenPair | 50052 | api-gateway(REST 透传) |
| IamService | Logout | LogoutRequest | LogoutResponse | 50052 | api-gateway(REST 透传) |
| IamService | GetUserInfo | GetUserInfoRequest | UserInfo | 50052 | teacher-bff / student-bff / parent-bff |
| IamService | BatchGetUsers | BatchGetUsersRequest | BatchGetUsersResponse | 50052 | teacher-bff / admin-portal |
| IamService | GetEffectivePermissions | GetEffectivePermissionsRequest | EffectivePermissionsResponse | 50052 | teacher-bff / student-bff / parent-bff |
| IamService | GetEffectiveAccess | GetEffectiveAccessRequest | EffectiveAccessResponse | 50052 | teacher-bff / student-bff / parent-bff |
| IamService | GetEffectiveDataScope | GetEffectiveDataScopeRequest | DataScopeResponse | 50052 | teacher-bff / data-ana |
| IamService | GetViewports | GetViewportsRequest | ViewportsResponse | 50052 | teacher-bff / student-bff / parent-bff |
| IamService | GetPublicKey | GetPublicKeyRequest | PublicKeyResponse | 50052 | api-gateway(JWKS 验签) |
| IamService | GetChildrenByParent | GetChildrenByParentRequest | ChildrenResponse | 50052 | parent-bff |
1.2 HTTP 端点(供 gateway 透传 + admin-portal 直连)
REST 与 gRPC 双入口并存(president §2.16)。REST 路径统一加
/v1前缀(I7 裁决)。gateway 路由/iam/v1/*→ iam 服务/v1/iam/*(透传不改路径)。
| Method | Path | 权限 | 说明 | 消费方 |
|---|---|---|---|---|
| POST | /iam/v1/register |
公开 | 注册 + 自动分配 teacher 角色 | api-gateway / admin |
| POST | /iam/v1/login |
公开 | 登录,返回 accessToken + refreshToken | api-gateway |
| POST | /iam/v1/refresh |
公开 | 刷新令牌(轮换 + 旧 token 黑名单) | api-gateway |
| POST | /iam/v1/logout |
IAM_USER_READ |
登出(refresh token 加黑名单) | api-gateway |
| GET | /iam/v1/me |
IAM_USER_READ |
当前用户信息 | api-gateway / admin |
| GET | /iam/v1/viewports |
IAM_USER_READ |
当前用户视口(L1 导航) | api-gateway |
| GET | /iam/v1/permissions/effective |
IAM_USER_READ |
当前用户有效权限(I8 统一路径) | api-gateway |
| GET | /iam/v1/.well-known/jwks.json |
公开 | RS256 公钥 JWK Set(Gateway 拉取验签) | api-gateway |
| GET | /iam/v1/children |
IAM_USER_READ |
当前家长的孩子列表(I6 裁决) | api-gateway / parent |
| GET | /iam/v1/roles |
IAM_ROLE_MANAGE |
角色列表(管理端) | admin-portal |
| GET | /iam/v1/permissions |
IAM_ROLE_MANAGE |
权限点列表(管理端) | admin-portal |
| GET | /healthz |
无 | liveness | k8s / 监控 |
| GET | /readyz |
无 | readiness(5 依赖检查) | k8s / 监控 |
| GET | /metrics |
无 | Prometheus 指标 | Prometheus |
1.3 GraphQL schema(如 BFF)
不适用。iam 是业务服务,不暴露 GraphQL(GraphQL 由 BFF 层提供)。
1.4 Kafka 事件发布(如有)
| Topic | Event | 消费方 |
|---|---|---|
| edu.iam.user.events | UserEvent(action: created/updated/deleted/role_changed) | core-edu / msg / push-gateway / teacher-bff / student-bff |
| edu.iam.role.events | RoleEvent(action: created/updated) | core-edu / teacher-bff |
| edu.iam.audit.created | AuditEvent(action: create/update/delete/login/logout/permission_change) | admin-portal |
1.5 错误码前缀
IAM_(如 IAM_UNAUTHORIZED、IAM_USER_NOT_FOUND、IAM_PERMISSION_DENIED)
§2 我消费什么(依赖上游)
2.1 gRPC 调用(同步)
无。iam 是身份根服务,不依赖其他业务服务。
2.2 Kafka 事件订阅(异步)
无。
2.3 HTTP 调用(如有)
无。
§3 就绪信号
3.1 我依赖的上游就绪标志
iam 是身份根服务,无业务上游依赖。但依赖以下基础设施契约(coord 提供):
| 依赖项 | 提供方 | 就绪标志 | 状态 |
|---|---|---|---|
| iam.proto 补全至 12 RPC | coord | proto 含 12 RPC + 全部 message | ❌ 仅 4 RPC(ISSUE-005) |
| events.proto 补全 UserEvent/RoleEvent/AuditEvent | coord | proto 含 3 个 message | ❌ 缺失(ISSUE-002) |
| shared-ts Outbox 工具包 | coord | outbox.service.ts 可导入 | ✅ 已就绪 |
3.2 我的就绪标志(供下游消费)
- iam gRPC 50052 启用(HealthService.Check 返回 SERVING)
- IamService 12 RPC 全部可调用(Register/Login/RefreshToken/Logout/GetUserInfo/BatchGetUsers/GetEffectivePermissions/GetEffectiveAccess/GetEffectiveDataScope/GetViewports/GetPublicKey/GetChildrenByParent)
- IamService.GetPublicKey 可用(返回 RS256 PEM 公钥,供 api-gateway 验签)
- IamService.GetChildrenByParent 可用(供 parent-bff 查孩子列表)
- edu.iam.user.events / edu.iam.role.events / edu.iam.audit.created topic 可发布
- JWT RS256 签发链路打通(access_token 15min + refresh_token 7day 轮换)
- /iam/v1/* REST 端点可用(供 gateway 透传 + admin-portal 直连,双入口策略)
§4 Mock 策略
4.1 我提供的 mock
在 iam 真实服务就绪前,为下游(api-gateway / 各 BFF / admin-portal)提供以下 mock(双入口):
- gRPC mock(供 BFF):使用 grpc-mock 拦截 50052 端口,Register/Login 返回固定 AuthResponse(user.id="mock-user-001", tokens.access_token="mock-access-token")
- REST mock(供 gateway / admin-portal):MSW 或 express mock 拦截 /iam/v1/* 路径,返回与 gRPC mock 一致的结构
- GetPublicKey mock:返回固定 RS256 公钥 PEM(与 mock 私钥配对),供 api-gateway 验签 mock JWT
- GetChildrenByParent mock:返回固定 ChildInfo 列表(2 个孩子)
- JWKS mock:GET /iam/v1/.well-known/jwks.json 返回固定 JWK Set
- Kafka mock:iam 服务就绪前不发布真实事件,下游订阅方使用本地 stub
4.2 我消费的 mock
不适用(iam 是身份根服务,无业务上游依赖)。