基本概念

• AliyunAccount/AliyunRAMUser：阿里云账号和RAM用户，也称为租户；
• Domain：域。一个Domain拥有独立的访问入口、资源空间、用户体系等，Domain间相互独立；使用域标识（DomainId或domain_id）来唯一标识一个domain；
• SlefBuildApp：CCP Domain拥有者自己开发的应用，最终用户操作时不需要进行授权操作；
• ThridPartyApp & Consent: 第三方开发的应用，使用OAuth2.0协议访问CCP，需经过最终用户授权（Consent）后才能访问对应用户的数据；
• Account：Domain下的账号，每个账号对应一个用户，在CCP中账号是可选的，当开启使用CCP账号体系、第三方账号体系或需要使用CCP的官方应用或CCP应用市场的应用时必须；
• Group/User/Role：Domain下的用户组、用户，当前只支持三种角色（superadmin, admin, user）；
• Drive：云盘，用户文件存储空间；
• Share：共享；
• File & Folder：文件和文件夹；
• Trash：垃圾箱；
• Revision：文件版本。

Domain数据存储方式

Domain提供两种数据存储方式，CCPPath和OSSPath，区别如下

访问身份分类

• 以应用身份访问：应用在调用CCP时，不需要用户干预，如后端服务、后台进程、命令行等，请求是代表应用
• 以用户身份访问：应用在调用CCP时，需用户登录、用户授权等，请求代表最终用户，一般在端测

身份认证方式分类

应用分类

1. 按应用所属权分

• 自建应用：CCP Domain拥有者自己开发的应用，最终用户操作时不需要进行授权操作；
• 第三方应用：第三方开发的应用，使用OAuth2.0协议访问CCP，需经过最终用户授权(Consent)后才能访问对应用户的数据。

2. 按应用开发类型分

在使用OAuth2.0认证时，对不同的应用开发类型，安全要求有差别，所以需要明确应用的开发类型

• Native App：移动端或桌面端应用；
• WebServer App：Web服务端应用；
• WebBrowser App：Web浏览器应用。

3. 按访问身份来源分

• JWT App：当使用应用身份访问时，支持JWT签名或阿里云Accesskey签名两种认证方式，当使用JWT签名认证时，需创建JWT类型的App。

用户体系

当涉及以用户身份方式访问时，需明确怎么构建用户体系，CCP支持多种用户体系以及用户体系间组合使用。

• 自建用户体系：租户自己维护账号信息，每个账号同步在CCP维护一个User，CCP基于User进行权限管理；
• CCP用户体系：CCP提供了账号注册、登录、绑定第三方身份系统账号的功能，可直接使用；
• 第三方用户体系：如钉钉、RAM子用户等，CCP提供了和第三方身份系统对接机制，支持第三方身份系统账号登录。

OSSPath相关概念

• Store：一个Store对应一个OSS Bucket前缀，Store间不能嵌套；
• StoreFile：Store下的文件，对应为Store关联的OSS Bucket前缀下的对象。