基于微服务的教育身份中台的设计与应用

李文晶 江西省教育评估监测研究院

●引言

近年来，随着信息技术的不断发展，云计算、大数据、人工智能等新技术进一步推动了教育管理信息化的发展。目前，笔者所在省已建成中小学学生学籍管理、教师管理、教育督导、教育规划管理、教育事业统计数据上报管理、民办教育公共服务平台、学前教育管理、中职教育学生学籍管理、普通高考查分、学生资助管理、教育人才与师资管理等30多个业务系统，同时也建设了十多个服务平台，如办公自动化系统、教育管理公共服务门户系统、大数据采集平台、统一能力开放平台、各类成绩查询系统等，不仅为千万师生提供了一系列的便利服务，而且通过信息化的手段解决了一些事务性的工作，使教育行政部门工作人员的工作减负。虽然取得了一定的成绩，但从已建的信息系统来看，也暴露了一些弊端：一是传统的系统建设都是为了解决某个实际的业务需求而建设的，缺少整体推进的顶层规划，呈现“小散乱”状态；二是传统的建设模式导致数据烟囱林立，信息孤岛严重，服务体验差，数据治理难度大，运维成本高，信息系统整合共享难；三是传统的系统建设方式导致“一数一源”难以保障，数据质量不高，师生用户身份标识不统一，各业务系统数据难以关联分析；四是教师、学生等身份信息在各类业务系统中存在差异，身份认证难，某些人员在一些系统中是教师身份，在其他系统中又是学生身份，容易给人误解，造成混淆。因此，如何解决上述问题，实现教育系统身份的统一验证，确保身份的准确性，是本研究关注的重点。

●建设目标

教育身份中台是以省各级各类学籍系统、教师管理系统等数据资源为基础，绘制教育系统数据蓝本库，依托终身学习账号体系，实现基于实名身份认证的集中授权，解决各类教育应用账号管理混乱问题，为不同场景下的身份核验、身份授权提供精细化服务。通过教育身份中台的建设，能够实现以下目标：

①通用的业务组件，提供各类系统微服务。即分析研究江西省已建信息系统应用，梳理出高频、可复用、共性的通用业务功能，整合内部资源，封装通用业务，形成模块组件，为后续新建业务系统提供统一支撑服务。

②构建统一的身份中台，实现“一数一源”。即以学籍库、教师库为蓝本库，将机构组织、教师、学生等信息通过数据抽取、转换等处理，形成标准一致、格式统一的初始化数据身份信息，构建一套统一的教育身份中台，使教育机构、教师、学生等基础数据实现“一数一源”，提高教育数据治理水平与数据质量。

③数据共享，提高数据应用成效。教育身份中台与江西省各类教育信息化应用打通，新建设系统无需采集教育机构、教师、学生等基础数据，可通过接口等方式从教育身份中台中直接获取。

④准确的身份识别，推动各类教育资源共享。教育身份中台能够推动各类教育系统实现统一的身份认证，并通过接口的方式为第三方应用提供服务。支撑高校大学生跨校选课、初（高）中综合素质评价系统、学分互认等各类信息系统；打通线下需要身份认证场合，推动图书馆、体育馆等场所通过身份中台的身份识别，将各类教育资源面向社会有序开放，合理利用各类资源。

⑤沉淀用户数据，绘制个人画像。教育身份中台的建立，汇聚了教师、学生等有价值的、多维度的、准确的数据资源，可为用户形成个人画像，提供多维度的个人分析服务，如学情分析、学分互认情况分析、综合素质评价写实记录分析等。

●关键技术

1.微服务技术

微服务的核心就是将传统的一站式应用，根据业务拆分成一个一个的服务，彻底地去耦合，每一个微服务提供单个业务功能的服务，一个服务做一件事情。将统一用户中心、统一认证中心、开放平台子模块使用微服务技术架构建设，使三者相互可独立部署，各自服务、专注于各自的模块功能，加强系统容错性。同时，在后续系统建设中能够更加方便地进行业务拓展，在拓展的同时不会影响到现有的模块功能。

2.Redis缓存技术

教育身份中台需容纳全省的学生、教师、公众等教育系统相关用户数据，用户体量大，数据繁杂，因此在数据存储方面采用Redis缓存技术，以解决存储速度问题，同时还能够使多用户在同时访问时更快地接收最新更新的数据。

3.Nginx负载均衡

目前，江西省有各级各类学校2.38万所，在校生1123.27万人，教职工82.59万人，教育身份中台用户量庞大，各应用访问数据频繁，且随着互联网的持续发展，业务流量越来越大并且业务逻辑也会跟着越来越复杂。因此采用Nginx负载均衡方式添加多台机器建设应用集群，使用负载均衡器进行请求分发，以解决高并发压力，同时提供故障转移，实现系统的高可用性。

本文采用的是B/S架构，总体系统架构从上往下由负载层、网关层、注册中心、系统应用层、中间件服务层、基础数据中心构成。整体架构思想为：以分布式关系数据库为底层数据支撑，缓存、ES全文搜索引擎、消息队列等中间件服务扩展系统吞吐能力，搭建统一服务注册中心，垂直切分独立业务集群，并由网关层统一调度及服务治理，为中台应用提供稳定、高性能的服务。具体技术路线如下页图1所示。

图1 技术路线

●总体设计与实现

教育身份中台采用了“1+2+2”的建设模式，即1个开放平台，2个中心—身份认证中心和中台数据中心，2个后台—运营治理后台和管理后台，为教育应用提供统一身份认证、集中用户管理、身份数据治理等相关服务。教育身份中台总体架构如下页图2所示。

图2 总体功能架构

1.开放平台

开放平台是教育身份中台跟第三方业务系统交互的平台，是第三方应用接入身份中台的唯一方式，第三方应用包括App、Web、小程序等。第三方应用入驻流程如下：

①第三方开发者先通过开放平台创建公司账户信息，提交相关材料审核，审核通过后，第三方开发者方可登录使用开放平台功能；

②创建应用，分配AppID以及AppSecret；

③开发应用，提供API文档、SDK以及demo指导第三方系统快速开发应用；

④审核应用，审核通过后第三方可以发布应用给第三方用户使用；

⑤OpenAPI（身份中台开放的API，是第三方应用系统跟教育身份中台交互的方式）通过标准的OAuth2.0的授权机制，第三方通过创建应用时获取的AppId以及AppSecret来获取应用的令牌，并以此调用身份中台相关的API。

教育身份中台提供对组织机构、学生数据、教师数据的标准读写API，第三方业务系统的读写权限以及写权重申请通过后，第三方业务系统才能正确地读写相应的数据。具体工作流程如图3所示。

图3 第三方应用入驻申请流程

2.中台数据中心

中台数据中心为全省教师、学生、公众提供统一的教育系统相关的个人信息管理服务，用户身份的增加、删除、修改等操作均通过中台数据中心实现，保证了教师、学生、公众等用户身份的唯一性，同时，用户身份数据与微信、支付宝、钉钉、学习号关联绑定，用户身份的变更需要通过手机号或邮箱等其他方式并结合身份证进行双重实名认证，保证用户信息的安全性。中台数据中心个人信息使用流程如图4所示。

图4 中台数据中心个人信息使用流程

3.身份认证中心

身份认证中心是教育身份中台的核心业务之一，主要提供登录核验和业务身份核验。身份认证中心以终身学习账号为关联，统一各业务系统的登录入口，所有的业务系统登录均通过身份中台进行核验，并且教师、学生身份信息的増、删、改等操作均通过身份中台的中台数据中心进行统一管理，保证了学生、教师身份的唯一性，确保了各业务系统身份登录的准确性。同时，身份认证中心汇聚了各类业务信息系统的教师、学生身份信息，为各类业务系统的业务场景的身份核验提供服务，能够准确识别各教师、学生的身份属性，避免了用户在存在多重身份时，身份认证难等问题。

4.运营治理后台

运营治理后台通过汇聚各类用户身份数据，根据用户组织、用户身份、用户属性等不同维度统计分析各类用户身份数据，精准绘制用户画像，为各类业务提供个性化的一对一服务。

5.管理后台

管理后台实现对所有第三方应用提交的资质认证及应用入驻的审批，并对所有用户数据的操作生成日志，包括用户数据的接口调用、新增、修改、删除、用户登录等。同时，建设服务器运行监控平台，实时监控教育身份中台服务器的运行情况，全方位保证教育身份中台的正常运行与数据安全。

●应用实例

目前，教育身份中台已与江西省初高中综合素质评价系统、学分互认系统、职业开放信息化服务平台等线上应用打通，实现了学生、教师、公众等用户的线上身份核验，依托终身学习账号实现一号登录，全网通行。

●结语

教育身份中台通过微服务模块化的方式，为教育系统内各类新建应用系统提供统一的用户管理、组织管理等功能，使新业务系统的用户及组织数据初始化方式由人工操作变为通过接口的方式直接同步共享，提升了教育信息化系统建设效率，节省了各类系统建设成本，促进了各类教育资源互联互通及共享，同时，教育身份中台依托终身学习账号实现各平台及系统间账号关联，为各类业务系统提供统一的身份核验。下一步，笔者所在单位将在教育身份中台的基础上，探索更多通用的模块化服务，封装接口，为各类应用提供更多模块化的数据服务，进一步提升全省教育管理信息化水平。