当 Agent 从工具进化为伙伴账户体系如何重新定义人机协作的信任边界​协议版本ooderAgent v1.0.0 | 发布日期2026-04-08 | 维护团队ooderAgent Team一、引言从 0.7.3 到 1.0.0 的跨越在人工智能快速发展的今天Agent 系统正在经历一场深刻的变革。从简单的对话工具到复杂的协作网络Agent 的角色定位发生了根本性的转变。这一转变对账户体系提出了全新的要求。ooderAgent 协议从 v0.7.3 到 v1.0.0 的演进正是这场变革的缩影。本文将深入剖析 ooderAgent 1.0.0 的统一认证体系揭示其背后的设计哲学与技术实现。1.1 版本演进历程​​1.2 核心变化对比维度v0.7.3 及之前v1.0.0 (龙虾时代)账户模型Agent 独立账户mcpAgent 网络账户认证方式本地 Token 生成jdsserver 统一认证用户关系无绑定概念用户绑定多个 mcpAgent权限隔离无权限体系多租户权限隔离语义载体无龙虾(Langxia)网络二、龙虾语义mcpAgent 的网络载体2.1 什么是龙虾语义在 ooderAgent 1.0.0 中我们引入了龙虾(Langxia)作为 mcpAgent 网络的语义载体。这一命名源于 2026 年 AI 圈的热梗——OpenClaw 开源 AI 智能体名称由来OpenClaw 是一款开源 AI 智能体工具因其 logo 是红色卡通龙虾“Claw” 意为爪子网友亲切地称其为龙虾核心能力不是简单的聊天机器人而是能自己动手操作电脑的 AI “数字员工”能接管电脑自动执行任务技术象征龙虾代表了 AI 从对话交互向自主执行任务的转型象征着 Agent 网络的主动执行能力安全边界龙虾能操作电脑的关键资源因此需要严格的权限控制和安全边界这正是 mcpAgent 网络账户体系要解决的问题2.2 龙虾网络架构​​2.3 龙虾网络类型用户可以绑定多种类型的龙虾网络满足不同场景的需求类型标识典型场景安全级别家庭网络HOME家里的智能助手、家庭自动化中企业网络COMPANY公司的办公助手、业务流程高客户网络CLIENT客户现场的部署、运维支持高云端网络CLOUD云端服务、公共能力低三、统一认证体系设计3.1 核心设计原则ooderAgent 1.0.0 的统一认证体系遵循以下核心原则统一认证源所有认证用户、mcpAgent均通过 jdsserver 完成统一 Token 格式Token 由 jdsserver 统一生成和验证多账户绑定一个用户可以绑定多个 mcpAgent 网络权限继承Agent 继承所属 mcpAgent 网络的权限审计追溯所有操作可追溯到具体用户3.2 认证流程架构​​3.3 Token 结构设计统一 Token 采用 JWT 格式包含以下声明{header:{alg:RS256,typ:JWT,kid:jdsserver-key-001},payload:{sub:user-001,iss:jdsserver,aud:ooderagent,exp:1712851200,iat:1712764800,jti:token-uuid-001,type:USER,mcpAgentId:mcp-home-001,networkId:langxia-home-001,bindingType:HOME,permissions:[read,write,execute]},signature:...}3.4 Token 类型说明Token 类型type 值适用场景有效期用户 TokenUSER用户登录系统24小时mcpAgent TokenMCP_AGENTmcpAgent 网络认证7天会话 TokenSESSIONAgent 会话30分钟四、用户与 mcpAgent 绑定机制4.1 绑定关系模型​​4.2 绑定数据结构publicclassUserMcpAgentBinding{privateString bindingId;// 绑定IDprivateString userId;// 用户IDprivateString mcpAgentId;// mcpAgent IDprivateString networkId;// 龙虾网络IDprivateString bindingType;// 绑定类型: HOME/COMPANY/CLIENT/CLOUDprivateString bindingName;// 绑定名称 (如家里的Agent)privateString status;// 状态: ACTIVE/INACTIVEprivateLong bindTime;// 绑定时间privateLong unbindTime;// 解绑时间privateMapString,Objectmetadata;// 元数据}五、jdsserver 北向协议5.1 协议概述jdsserver 是 ooderAgent 的统一认证服务通过北向协议提供认证能力。北向协议是 ooderAgent 架构中的关键组件负责用户身份认证mcpAgent 身份认证Token 生成与验证权限查询与管理5.2 协议接口定义publicinterfaceNorthboundAuthProtocol{// 用户认证AuthResultauthenticateUser(String username,String password);// mcpAgent 网络认证AuthResultauthenticateMcpAgent(String mcpAgentId,String secret);// mcpAgent 注册RegisterResultregisterMcpAgent(String mcpAgentName,String networkType);// Token 验证TokenInfovalidateToken(String token);// Token 刷新AuthResultrefreshToken(String token);// Token 注销voidrevokeToken(String token);// 权限查询ListStringgetPermissions(String subjectId,String resourceType,String resourceId);}六、Agent 会话管理6.1 会话数据结构publicclassAgentSessionDTO{privateString agentId;// Agent IDprivateString sessionToken;// 会话 Token (来自 jdsserver)privateString agentName;// Agent 名称privateString agentType;// Agent 类型privateString status;// 状态privatelong loginTime;// 登录时间privatelong lastHeartbeat;// 最后心跳privatelong expireTime;// 过期时间privateString sceneGroupId;// 场景组ID// v1.0.0 新增字段privateString mcpAgentId;// 所属 mcpAgent IDprivateString networkId;// 所属龙虾网络IDprivateString userId;// 所属用户ID (通过绑定关系)privateString authSource;// 认证来源: jdsserverprivateString jdsToken;// jdsserver 颁发的原始 TokenprivateString bindingType;// 绑定类型}七、权限体系设计7.1 权限模型ooderAgent 1.0.0 采用 RBAC (基于角色的访问控制) 与 ABAC (基于属性的访问控制) 混合模型​​7.2 预定义角色角色描述权限范围系统管理员系统最高权限所有资源的完全控制网络管理员龙虾网络管理网络内资源的完全控制场景管理员场景管理场景内资源的完全控制操作员日常操作读写权限无删除权限观察者只读访问只读权限八、审计与追溯8.1 审计日志设计所有 Agent 操作都会记录审计日志确保可追溯性publicclassAgentAuditLog{privateString logId;// 日志IDprivateString agentId;// Agent IDprivateString mcpAgentId;// mcpAgent IDprivateString networkId;// 龙虾网络IDprivateString userId;// 用户ID (通过绑定关系)privateString action;// 操作类型privateString resourceType;// 资源类型privateString resourceId;// 资源IDprivateMapString,Objectparams;// 操作参数privateObject result;// 操作结果privateBoolean success;// 是否成功privateString errorMessage;// 错误信息privateLong timestamp;// 时间戳privateString ipAddress;// IP 地址privateString traceId;// 追踪ID}8.2 审计事件类型事件类型描述记录内容AUTH_LOGIN登录认证用户/Agent ID、时间、IPAUTH_LOGOUT注销登出用户/Agent ID、时间BINDING_CREATE创建绑定用户ID、mcpAgent IDBINDING_DELETE解除绑定用户ID、mcpAgent IDRESOURCE_ACCESS资源访问资源类型、ID、操作8.3 责任追溯链​​追溯示例十、SE SDK 版本变更详情v0.7.3 → v1.0.0/3.0.210.1 版本演进与特性路线图​​10.2 各版本业务与产品特性详解v0.7.3 架构稳定版2026 Q1业务定位Agent 协作能力验证平台产品定位开发者工具、技能市场雏形目标用户开发者、技术团队特性描述业务价值P2P Agent 网络点对点通信架构验证 Agent 间协作可行性热插拔技能框架运行时动态加载技能快速迭代、灵活扩展南北向分层协议清晰的协议分层便于集成和扩展本地 UUID Token简单认证机制快速开发测试内存会话存储轻量级会话管理单机部署验证v1.0.0 龙虾时代2026 Q2业务定位多租户企业级协作平台产品定位Agent 商店、企业级服务目标用户企业客户、业务团队特性描述业务价值mcpAgent 网络账户龙虾网络账户模型多 Agent 统一身份管理jdsserver 统一认证北向协议统一认证企业级安全合规用户-Agent 绑定灵活的绑定关系用户管理多个 Agent 网络RBACABAC 权限混合权限模型细粒度访问控制审计追溯链路完整操作审计合规追溯、责任认定v3.0.2 企业平台2026 Q1业务定位全场景智能协作平台产品定位企业级 AI 平台目标用户终端用户、业务人员特性描述业务价值多 IM 网关集成微信/钉钉/飞书统一接入全渠道用户触达BPM 工作流集成企业流程自动化业务流程智能化RAG 知识增强检索增强生成能力企业知识库赋能向量数据库支持Milvus 向量检索高效语义搜索四级上下文架构场景/用户/会话/请求精细化上下文管理10.3 Apex MVP 最小版本保留功能MVP 定位快速验证、轻量部署、核心能力核心保留模块模块功能保留原因Agent 核心生命周期管理、注册/心跳/注销Agent 运行基础会话管理基础会话创建、维护、销毁对话交互基础场景引擎场景组管理、场景生命周期多场景支持基础技能框架热插拔加载、技能执行能力扩展基础LLM 集成基础对话能力智能交互核心企业版移除模块模块移除原因企业版获取方式多租户支持增加部署复杂度单独部署授权审计日志服务依赖外部存储企业版内置IM 网关集成需要第三方配置企业版插件向量数据库需要 Milvus 部署企业版内置BPM 工作流需要 BPM 引擎企业版集成RAG 知识增强需要知识库配置企业版内置MVP vs 企业版适用场景场景MVP 版本企业版POC 验证✅ 推荐⚠️ 过重开发测试✅ 推荐⚠️ 过重轻量部署✅ 推荐⚠️ 过重生产环境❌ 不推荐✅ 推荐多租户场景❌ 不支持✅ 支持合规审计❌ 不支持✅ 支持10.4 关键技术升级依赖包v0.7.3 版本v1.0.0/3.0.2 版本主要变更Java1721LTS 版本升级虚拟线程支持Spring Boot2.7.x3.4.4框架大版本升级Native 支持增强ooder.sdk.version0.7.33.0.2统一 SDK 版本号agent-sdk-core0.7.x3.0.1Agent SDK 核心升级llm-sdk0.7.x3.0.1LLM SDK 独立模块fastjson22.0.x2.0.57JSON 处理优化Milvus SDK无2.4.1新增向量数据库支持10.2 新增模块清单模块名称功能描述版本skill-im-gatewayIM 网关服务微信/钉钉/飞书3.0.2skill-tenant多租户支持3.0.2skill-audit审计日志服务3.0.2skill-workflow工作流集成BPM3.0.2skill-ragRAG 检索增强生成3.0.2skill-hotplug-starter热插拔启动器3.0.110.3 Scene Engine 核心变更模块v0.7.3v1.0.0/3.0.2变更说明SceneGroupManager内存版持久化版支持数据库存储和恢复SessionManager内存版统一会话版UnifiedSessionManager 支持多类型会话ContextManager单级四级架构场景/用户/会话/请求四级上下文WorkflowEngine简化版完整版支持 BPM 工作流集成AuditService无完整版操作审计和追溯VectorStore无Milvus向量检索支持10.4 关键技术升级技术升级内容影响认证协议本地 UUID → jdsserver 北向协议统一认证源Token 格式UUID → JWT标准化、可验证会话存储内存 → 数据库/Redis持久化、可恢复权限模型无 → RBACABAC细粒度控制审计追溯无 → 完整审计链责任可追溯十一、总结与展望11.1 核心价值ooderAgent 1.0.0 的统一认证体系带来了以下核心价值安全可信通过 jdsserver 统一认证确保所有访问的可信性灵活绑定用户可以管理多个龙虾网络适应不同场景权限隔离多租户架构确保数据安全可追溯性完整的审计链路责任清晰11.2 与 v0.7.3 的对比维度v0.7.3v1.0.0账户模型Agent 独立账户龙虾网络账户认证方式本地 UUID Tokenjdsserver JWT Token用户关系无用户绑定多个网络权限控制无RBAC ABAC审计追溯无完整审计链路语义载体无龙虾(Langxia)11.3 未来展望随着 ooderAgent 协议的持续演进统一认证体系将在以下方向继续完善零信任架构持续验证永不信任联邦认证支持跨域认证和单点登录隐私计算数据可用不可见量子安全抗量子密码学支持本文作者ooderAgent Team发布日期2026年4月 | 协议版本ooderAgent v1.0.0​