高校企業(yè)微信多身份難題的解決與實(shí)踐

胡淼 謝華 李俊

摘? 要：目前許多高?；谄髽I(yè)微信搭建移動(dòng)服務(wù)平臺(tái)，并通過(guò)統(tǒng)一身份認(rèn)證平臺(tái)與企業(yè)微信的對(duì)接為用戶提供“免登錄”體驗(yàn)，但使得多身份用戶在使用企業(yè)微信時(shí)無(wú)法明確身份的難題凸顯。文章對(duì)企業(yè)微信接口與身份認(rèn)證機(jī)制進(jìn)行了研究，通過(guò)梳理數(shù)據(jù)源、確定合重方式、同步推送數(shù)據(jù)以及提供身份切換等一系列措施，實(shí)踐解決了多身份難題，同時(shí)完成身份數(shù)據(jù)的初步治理，為搭建身份治理平臺(tái)提供基礎(chǔ)與方向。

關(guān)鍵詞：企業(yè)微信；統(tǒng)一身份認(rèn)證；多身份；身份治理

中圖分類(lèi)號(hào)：TP311? 文獻(xiàn)標(biāo)識(shí)碼：A? 文章編號(hào)：2096-4706（2023）02-0015-03

Solution and Practice of University Enterprise's WeChat Multi Identity Problem

HU Miao， XIE Hua， LI Jun

（Nanjing Sport Institute， Nanjing? 210014， China）

Abstract： At present， many colleges and universities build mobile service platforms based on enterprise WeChat， and provide users with a “l(fā)ogin free” experience through the connection between the unified identity authentication platform and enterprise WeChat. However， the problem that multi identity users cannot identify themselves when using enterprise WeChat is highlighted. This paper studies the enterprise WeChat interface and identity authentication mechanism. Through a series of measures such as sorting out the data source， determining the way of combining， synchronously pushing data and providing identity switching， it solves the multi identity problem and completes the initial governance of identity data， providing the foundation and direction for building an identity governance platform.

Keywords： enterprise WeChat; unified identity authentication; multi identity; identity governance

0? 引? 言

隨著信息化不斷發(fā)展，各高校積極推進(jìn)智慧校園建設(shè)，滿足各應(yīng)用需求的業(yè)務(wù)系統(tǒng)層出不窮，但同時(shí)也帶來(lái)了網(wǎng)絡(luò)信息安全隱患、各系統(tǒng)賬號(hào)密碼繁多、系統(tǒng)間存在應(yīng)用壁壘和數(shù)據(jù)孤島等問(wèn)題，為解決上述問(wèn)題，將現(xiàn)有業(yè)務(wù)系統(tǒng)適當(dāng)改造，與校園統(tǒng)一身份認(rèn)證平臺(tái)對(duì)接，實(shí)現(xiàn)身份與權(quán)限的統(tǒng)一管理與認(rèn)證，成為當(dāng)今主流。以筆者所在學(xué)校——南京體育學(xué)院為例，目前已完成全量數(shù)據(jù)中心、統(tǒng)一身份認(rèn)證平臺(tái)以及融合門(mén)戶建設(shè)，與我校教務(wù)、學(xué)工、人事、科研等30多個(gè)業(yè)務(wù)系統(tǒng)完成認(rèn)證及數(shù)據(jù)集成。

隨著移動(dòng)服務(wù)的需求不斷增加，企業(yè)微信作為騰訊公司推出的一款專(zhuān)業(yè)辦公管理平臺(tái)，具有開(kāi)發(fā)及推廣成本低、用戶黏度高、信息推送量不限且及時(shí)準(zhǔn)確、安全性能較高、用戶通訊錄認(rèn)證技術(shù)、終端適配等優(yōu)勢(shì)，筆者學(xué)校選擇基于企業(yè)微信搭建移動(dòng)端校園應(yīng)用，但與此同時(shí)，校園應(yīng)用與企業(yè)微信對(duì)接過(guò)程中，本身就存在弊端的多身份認(rèn)證問(wèn)題凸顯，亟待解決。

1? 存在問(wèn)題

1.1? 相關(guān)技術(shù)概念

企業(yè)微信在身份認(rèn)證體系構(gòu)建方面提供了通訊錄管理以及身份驗(yàn)證兩類(lèi)基礎(chǔ)功能接口，能夠?yàn)樾@移動(dòng)應(yīng)用在用戶的身份權(quán)限管理上提供方便的功能支撐[2]。

1.1.1? 通訊錄管理接口

提供用戶信息、組織機(jī)構(gòu)信息的同步功能，學(xué)校通過(guò)該接口將教職工、學(xué)生、臨時(shí)人員等用戶信息以及全校組織機(jī)構(gòu)（包括用戶組、崗位、角色等）信息同步至企業(yè)微信通訊錄，從而搭建通信錄認(rèn)證白名單。

值得注意的是，接口中用戶信息字段UserID、mobile、email三者企業(yè)內(nèi)必須唯一，也就意味著企業(yè)用戶通過(guò)手機(jī)號(hào)碼或郵箱來(lái)標(biāo)識(shí)自己在企業(yè)內(nèi)的唯一身份。

1.1.2? 身份驗(yàn)證接口

企業(yè)微信提供了基于OAuth2協(xié)議的網(wǎng)頁(yè)授權(quán)登錄與掃碼授權(quán)登錄兩種身份驗(yàn)證方式，與之對(duì)接的校園應(yīng)用可通過(guò)該接口獲取當(dāng)前登錄企業(yè)微信的用戶信息（UserID等參數(shù)）。

1.2? “企業(yè)微信+統(tǒng)一身份認(rèn)證”模式下的免登錄體驗(yàn)

筆者所在學(xué)校基于企業(yè)微信提供的上述接口，將學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)與企業(yè)微信完成身份認(rèn)證技術(shù)對(duì)接，可以實(shí)現(xiàn)用戶在企業(yè)微信客戶端使用校園應(yīng)用時(shí)達(dá)到“無(wú)感知”身份認(rèn)證（無(wú)須輸入賬號(hào)密碼）。

首先，學(xué)校統(tǒng)一身份認(rèn)證平臺(tái)與企業(yè)微信對(duì)接通訊錄管理接口，實(shí)現(xiàn)用戶信息、組織機(jī)構(gòu)信息的實(shí)時(shí)同步，保證校園合法用戶才能使用手機(jī)號(hào)碼或手機(jī)號(hào)碼綁定的微信賬號(hào)登錄校園企業(yè)微信。

其次，用戶通過(guò)企業(yè)微信客戶端訪問(wèn)校園應(yīng)用時(shí)，統(tǒng)一身份認(rèn)證平臺(tái)通過(guò)企業(yè)微信提供的身份驗(yàn)證接口獲取當(dāng)前登錄用戶信息并進(jìn)行身份認(rèn)證，免去用戶輸入賬號(hào)、密碼環(huán)節(jié)。具體過(guò)程如圖1所示。①用戶點(diǎn)擊企業(yè)微信中提供的校園應(yīng)用鏈接，該鏈接均由各校園應(yīng)用提供商構(gòu)造的OAuth2協(xié)議鏈接；②企業(yè)微信后臺(tái)根據(jù)用戶請(qǐng)求中攜帶的各類(lèi)參數(shù)，驗(yàn)證用戶及請(qǐng)求的合法性；③若驗(yàn)證合法，企業(yè)微信后臺(tái)返回?cái)y帶有授權(quán)碼的應(yīng)用鏈接，企業(yè)微信客戶端根據(jù)返回的應(yīng)用鏈接重定向至對(duì)應(yīng)的校園應(yīng)用，請(qǐng)求服務(wù)；④校園應(yīng)用接收到請(qǐng)求后，向校園統(tǒng)一身份認(rèn)證平臺(tái)請(qǐng)求身份認(rèn)證，驗(yàn)證用戶合法性、獲取身份信息；⑤統(tǒng)一身份認(rèn)證平臺(tái)使用授權(quán)碼通過(guò)企業(yè)微信提供的身份驗(yàn)證接口API獲取當(dāng)前登錄用戶身份信息，包括UserID、所在部門(mén)等信息；⑥統(tǒng)一身份認(rèn)證平臺(tái)根據(jù)獲取到的用戶信息驗(yàn)證用戶合法性，并向校園應(yīng)用返回認(rèn)證結(jié)果，包含用戶必要信息；⑦校園應(yīng)用獲得認(rèn)證結(jié)果后，根據(jù)用戶信息建立相應(yīng)會(huì)話資源，并向企業(yè)微信返回授權(quán)資源及結(jié)果；⑧企業(yè)微信客戶端根據(jù)授權(quán)資源向用戶展現(xiàn)相應(yīng)的應(yīng)用頁(yè)面。

1.3? 多身份現(xiàn)象及企業(yè)微信“免登錄”場(chǎng)景下存在的問(wèn)題

由于筆者所在學(xué)校培養(yǎng)方向的特殊性，除教職工、學(xué)生等人員外，還存在教練員、運(yùn)動(dòng)員等身份用戶，且校園存在大量人員具有多重身份，例如：教職工同時(shí)進(jìn)行學(xué)位深造屬于學(xué)生身份，在讀學(xué)生同時(shí)屬于校運(yùn)動(dòng)隊(duì)在訓(xùn)運(yùn)動(dòng)員身份，甚至復(fù)雜情況下一個(gè)人同時(shí)具有3～4個(gè)校園身份。

多身份用戶在使用學(xué)校各類(lèi)業(yè)務(wù)及資源時(shí)，出現(xiàn)以下幾點(diǎn)問(wèn)題。

1.3.1? 需記住多套身份賬號(hào)密碼

具有多身份的用戶在處理不同身份事項(xiàng)時(shí)，即使學(xué)校已搭建統(tǒng)一身份認(rèn)證機(jī)制，但仍需要使用不同身份的賬號(hào)和密碼登錄，因?yàn)榻y(tǒng)一身份認(rèn)證機(jī)制僅解決了同一身份在不同業(yè)務(wù)系統(tǒng)中的重復(fù)登錄問(wèn)題，針對(duì)多身份情況，仍需要用戶記住多套賬號(hào)和密碼，來(lái)回登錄，使用感受較差。

1.3.2? 使用企業(yè)微信時(shí)無(wú)法明確身份

在企業(yè)微信“免登錄”場(chǎng)景下，多身份問(wèn)題進(jìn)一步凸顯，且直接影響業(yè)務(wù)使用，具體情況如下：

企業(yè)微信以手機(jī)號(hào)碼或郵箱（一般為手機(jī)號(hào)碼）作為通訊錄唯一標(biāo)識(shí)，這使得學(xué)校與企業(yè)微信同步通訊錄數(shù)據(jù)后，企業(yè)微信根據(jù)同步推送的手機(jī)號(hào)碼為每一個(gè)企業(yè)微信用戶確定一個(gè)身份（對(duì)應(yīng)一個(gè)UserID），如果單純想要在企業(yè)微信中區(qū)分多重身份，需要用戶使用不同手機(jī)號(hào)碼（或不同手機(jī)號(hào)碼綁定的微信）加入企業(yè)微信才能實(shí)現(xiàn)。而正常情況下即使擁有校園多重身份的用戶，在系統(tǒng)登記使用的手機(jī)號(hào)碼通常只有一個(gè)，也就是身份賬號(hào)不同，但手機(jī)號(hào)碼相同，這就使得多身份用戶無(wú)法在企業(yè)微信獲得多個(gè)身份。統(tǒng)一身份認(rèn)證平臺(tái)通過(guò)企業(yè)微信提供的身份驗(yàn)證接口獲取登錄用戶的UserID也只能與系統(tǒng)登記的手機(jī)號(hào)碼產(chǎn)生對(duì)應(yīng)關(guān)系，無(wú)法明確用戶的具體身份，無(wú)法為用戶確定具體業(yè)務(wù)權(quán)限，這使得多身份用戶在企業(yè)微信客戶端無(wú)法正常使用校園業(yè)務(wù)。

2? 解決與實(shí)踐

2.1? 解決思路

2.1.1? 匯總數(shù)據(jù)統(tǒng)一歸類(lèi)

梳理不同身份數(shù)據(jù)的數(shù)據(jù)來(lái)源，明確集成方式，確保每一類(lèi)身份數(shù)據(jù)擁有唯一的權(quán)威數(shù)據(jù)源；根據(jù)企業(yè)微信接口性質(zhì)，確定身份數(shù)據(jù)以手機(jī)號(hào)碼進(jìn)行歸類(lèi)合重，并嚴(yán)格控制手機(jī)號(hào)碼的數(shù)據(jù)來(lái)源及修改渠道，保證合重準(zhǔn)確性。

筆者所在學(xué)校將身份類(lèi)型分為五大類(lèi)，包括教職工、本科生、研究生、運(yùn)動(dòng)員、臨時(shí)人員，這五類(lèi)身份數(shù)據(jù)來(lái)源分別為：人事系統(tǒng)、教務(wù)系統(tǒng)、研究生系統(tǒng)、訓(xùn)練系統(tǒng)及流程平臺(tái)。這些業(yè)務(wù)系統(tǒng)均與學(xué)校數(shù)據(jù)中心完成數(shù)據(jù)集成與同步，數(shù)據(jù)中心再將匯總數(shù)據(jù)同步給統(tǒng)一身份認(rèn)證平臺(tái)，由統(tǒng)一身份認(rèn)證平臺(tái)完成歸類(lèi)合重，并提供唯一的手機(jī)號(hào)碼修改渠道，成為學(xué)校手機(jī)號(hào)碼的權(quán)威數(shù)據(jù)源，并反向同步更新給數(shù)據(jù)中心，從而保證數(shù)據(jù)一致性。

2.1.2? 實(shí)現(xiàn)數(shù)據(jù)同步推送

將全校身份數(shù)據(jù)根據(jù)手機(jī)號(hào)碼歸類(lèi)合重，對(duì)應(yīng)同一個(gè)用戶并展示，根據(jù)企業(yè)微信接口性質(zhì)，為每一個(gè)用戶標(biāo)記UserID，完成手機(jī)號(hào)碼與UserID的一對(duì)一關(guān)系，明確每個(gè)身份數(shù)據(jù)的有效期，清理、修改和完善各業(yè)務(wù)系統(tǒng)的歷史推送數(shù)據(jù)，并適當(dāng)修改業(yè)務(wù)邏輯，保證后續(xù)數(shù)據(jù)的準(zhǔn)確性，完成身份數(shù)據(jù)的初步治理。根據(jù)身份數(shù)據(jù)的有效期，將每個(gè)用戶（UserID及手機(jī)號(hào)碼）的有效身份數(shù)據(jù)推送至企業(yè)微信，保證一個(gè)手機(jī)號(hào)可以對(duì)應(yīng)多個(gè)身份，建設(shè)企業(yè)微信通訊錄白名單。

2.1.3? 提供多重身份切換登錄

當(dāng)用戶通過(guò)企業(yè)微信客戶端進(jìn)行免登錄認(rèn)證時(shí)，統(tǒng)一身份認(rèn)證平臺(tái)通過(guò)企業(yè)微信提供的身份驗(yàn)證接口獲取當(dāng)前登錄用戶信息（UserID），便能方便快捷地查詢出該用戶的所有身份數(shù)據(jù)，并提供身份選擇/切換頁(yè)面，用戶選擇相應(yīng)身份后，便能夠以該身份訪問(wèn)相應(yīng)業(yè)務(wù)系統(tǒng)，處理對(duì)應(yīng)身份業(yè)務(wù)，從而有效解決多身份用戶使用企業(yè)微信時(shí)無(wú)法明確身份的問(wèn)題。

同時(shí)，統(tǒng)一身份認(rèn)證平臺(tái)提供“手機(jī)號(hào)碼+密碼”登錄方式，當(dāng)以該方式進(jìn)行認(rèn)證時(shí)，平臺(tái)同樣根據(jù)手機(jī)號(hào)碼查詢出該用戶的所有身份數(shù)據(jù)，并提供身份選擇/切換頁(yè)面，從而解決多身份用戶需使用不同身份賬號(hào)密碼才能登錄對(duì)應(yīng)身份辦理身份事項(xiàng)的難題。

2.1.4? 實(shí)現(xiàn)共享治理成果

多身份問(wèn)題可能不局限在一個(gè)平臺(tái)或一種應(yīng)用場(chǎng)景，開(kāi)放梳理完成的多身份數(shù)據(jù)及相關(guān)接口供其他系統(tǒng)使用，可解決共性問(wèn)題，共享治理成果。

2.2? 實(shí)踐效果

2.2.1? 登錄

多身份治理完成后，用戶無(wú)須記住多個(gè)身份賬號(hào)及密碼，可根據(jù)合重的手機(jī)號(hào)碼登錄，再選擇相應(yīng)身份進(jìn)入系統(tǒng)。身份選擇與切換界面如圖2所示。

2.2.2? 企業(yè)微信客戶端

企業(yè)微信客戶端提供免登錄體驗(yàn)的同時(shí)，多身份用戶直接按需選擇業(yè)務(wù)辦理的身份，提高用戶辦理事項(xiàng)的使用效率。

2.2.3? 后臺(tái)管理端

后臺(tái)管理端根據(jù)“一用戶多身份”匯總展示身份數(shù)據(jù)，并標(biāo)識(shí)各身份狀態(tài)及有效期。后臺(tái)“一用戶多身份”數(shù)據(jù)展示效果界面如圖3所示。

3? 結(jié)? 論

筆者所在學(xué)校基于企業(yè)微信搭建校園移動(dòng)辦公環(huán)境，并通過(guò)統(tǒng)一身份認(rèn)證平臺(tái)與企業(yè)微信的對(duì)接為用戶提供方便快捷的“免登錄”體驗(yàn)，但使得多身份用戶在使用企業(yè)微信時(shí)無(wú)法明確身份的難題更為突出，學(xué)校通過(guò)對(duì)企業(yè)微信接口與身份認(rèn)證機(jī)制進(jìn)行研究，提出緊抓數(shù)據(jù)來(lái)源、明確合重方式、同步推送數(shù)據(jù)、提供身份切換等一系列措施，使得多身份用戶不必記住多套身份賬號(hào)和密碼，只需使用“手機(jī)號(hào)碼+密碼”登錄方式便可在多個(gè)身份中來(lái)回切換選擇，同時(shí)通過(guò)企業(yè)微信使用校園應(yīng)用時(shí)，也可通過(guò)“免登錄+選擇身份”方式以明確的身份進(jìn)入具體應(yīng)用完成相應(yīng)事務(wù)。與此同時(shí)，學(xué)校也完成了身份數(shù)據(jù)的初步治理，并開(kāi)放數(shù)據(jù)接口、共享治理成果，為學(xué)校身份治理提供了基礎(chǔ)與方向。

后續(xù)，學(xué)校在多身份方面仍有許多新的探究方向：首先，針對(duì)學(xué)校一人多身份的應(yīng)用需求下，目前尚無(wú)模型或平臺(tái)能夠?qū)崿F(xiàn)業(yè)務(wù)辦理與消息通知等徹底融合的場(chǎng)景，例如：用戶可查看自己全部身份權(quán)限下能夠使用的應(yīng)用，并選擇相應(yīng)應(yīng)用與身份進(jìn)入系統(tǒng)；用戶可查看自己全部身份權(quán)限下的待辦任務(wù)，并以相應(yīng)身份完成對(duì)應(yīng)的任務(wù)；用戶能夠收到自己全部身份權(quán)限下的消息提醒等。同時(shí)，后臺(tái)管理端層面目前也只是具備多身份數(shù)據(jù)的展示功能，后續(xù)可搭建基于機(jī)構(gòu)、崗位、人員等維度的身份治理平臺(tái)，基于校園機(jī)構(gòu)、崗位及身份數(shù)據(jù)的治理成果提供可視化管理平臺(tái)，進(jìn)一步實(shí)現(xiàn)高校身份治理。

參考文獻(xiàn)：

[1] 李建國(guó)，姚軍光.基于企業(yè)微信的移動(dòng)校園建設(shè)研究 [J].青島遠(yuǎn)洋船員職業(yè)學(xué)院學(xué)報(bào)，2021，42（3）：7-10.

[2] 張剛剛.智慧校園下“企業(yè)微信+CAS”的統(tǒng)一身份認(rèn)證方案設(shè)計(jì) [J].軟件導(dǎo)刊，2022，21（1）：34-39.

[3] 陳胤梁，江峰，王莉.淺談基于用戶體驗(yàn)的校園統(tǒng)一身份認(rèn)證系統(tǒng)優(yōu)化 [J].電腦知識(shí)與技術(shù)，2021，17（9）：68-70.

[4] 樂(lè)海平.基于微信企業(yè)號(hào)的高校移動(dòng)服務(wù)平臺(tái)建設(shè) [J].教育教學(xué)論壇，2020（47）：15-16.

[5] 許彩龍.基于微信企業(yè)號(hào)的高校移動(dòng)門(mén)戶建設(shè)與應(yīng)用 [J].數(shù)字技術(shù)與應(yīng)用，2022，40（5）：208-210.

[6] 徐建，宗銳，寇贇，等.基于統(tǒng)一身份認(rèn)證的微應(yīng)用開(kāi)發(fā)應(yīng)用探索 [J].電子世界，2021（12）：57-58.

作者簡(jiǎn)介：胡淼（1981—），女，漢族，江蘇無(wú)錫人，實(shí)驗(yàn)師，碩士，研究方向：智慧校園建設(shè)與服務(wù)。

收稿日期：2022-08-29