# 用户手册:扫码登录 + OTP 二次认证(Phase 1+2)

> 创建:2026-06-21
> 适用版本:v0.7.0+ (Phase 1+2 上线后)
> 读者:全体员工、坐席、管理员

---

## 📖 这是什么?

从 v0.7.0 开始,登录方式升级为**扫码登录 + OTP 二次认证**:
- ✅ 不再依赖企业微信应用入口,任意浏览器都能打开
- ✅ 多角色用户(坐席+管理员)可在 Portal 选角色自动跳转
- ✅ 管理员每次登录强制 OTP,高危操作也强制 OTP
- ✅ 备用通道:蜂鸟短信(手机丢/没装 Authenticator 时用)

---

## 🧑‍💼 员工端(H5)

### 入口
- 仍在企微内打开"IT智能服务台"应用
- 不需要扫码登录,沿用企微 OAuth

### 使用场景
- 提工单
- 看历史会话
- 查知识库

---

## 🧑‍🔧 坐席端(Agent)

### 首次登录(扫码)

```
步骤 1:浏览器访问 https://itsupport.servyou.com.cn/itportal/
步骤 2:页面显示二维码(120 秒有效)
步骤 3:用企业微信扫 → 确认登录
步骤 4:自动跳到 /itagent/workspace
```

### 日常登录

- 浏览器直接打开 `https://itsupport.servyou.com.cn/itagent/`
- 没登录 → 自动跳到 Portal 扫码
- 第二次扫码可免重复(浏览器记住 localStorage)

### 高危操作时 OTP

如果你是**坐席+管理员**(双角色),触发以下操作前会弹 OTP 输入框:
- 改权限
- 改系统配置
- 导出数据
- 封号
- 新增账号/MFA 重置

弹框出现 → 输入 Authenticator 6 位码 → 验证通过(30 分钟内免重输)

---

## 🛡️ 管理员端(Admin)

### 入口

- 浏览器直接打开 `https://itsupport.servyou.com.cn/itadmin/`
- 没登录 → 自动跳到 Portal 扫码

### 强制 OTP

管理员**每次登录都需要 OTP**:
- 扫码登录成功后,会跳到 MFA 绑定页(首次)或 OTP 验证页
- 输入 Authenticator 6 位码 → 进入管理后台
- 高危操作前还要再验一次(30 分钟内免重输)

### 首次绑定 OTP(强制)

```
步骤 1:登录后 → 自动跳 /mfa-bind
步骤 2:用 Google Authenticator / 微软 Authenticator / Authy 扫描二维码
步骤 3:输入 Authenticator 显示的 6 位码 → 点"启用 OTP"
步骤 4:绑定成功,后续登录用 OTP 验证
```

### 丢手机兜底(管理员后台重置)

如果你手机丢了/坏了,**找其他管理员重置**:

```
步骤 1:其他管理员登录 /itadmin/
步骤 2:进入"用户管理" → "MFA 管理"
步骤 3:搜索你的姓名 → 点"重置 MFA"
步骤 4:你下次登录时重新绑定 OTP
```

---

## 🆘 备用通道:蜂鸟 SMS

什么情况下用:
- 📱 手机丢了/坏了
- 🆕 刚入职,还没装 Authenticator
- 🔧 Authenticator 客户端不兼容

怎么用:
- 在 OTP 输入页点"收不到验证码?短信验证"
- 输入手机号(企微已绑定)→ 收短信码 → 验证

---

## 📱 推荐 OTP 客户端

| 客户端 | 平台 | 推荐度 |
|---|---|---|
| Google Authenticator | iOS / Android | ⭐⭐⭐⭐⭐ |
| 微软 Authenticator | iOS / Android | ⭐⭐⭐⭐ |
| Authy | iOS / Android / 桌面 | ⭐⭐⭐⭐⭐ |
| 1Password | 全平台 | ⭐⭐⭐ |

公司偏好:**Google Authenticator**(零依赖,离线可用)

---

## ❓ 常见问题

### Q1:扫码登录过期了怎么办?
A:二维码有效期 120 秒,过期后点"刷新二维码"按钮。

### Q2:扫码登录失败?
A:
- 确认用的是企业微信(不是普通微信)
- 确认企微里能看到"IT智能服务台"应用
- 刷新页面重新生成二维码

### Q3:OTP 输入错误?
A:连续 5 次错误会被锁定 5 分钟,等 5 分钟后再试。

### Q4:换手机了怎么办?
A:登录前在旧手机上导出 OTP(Google Authenticator 支持),或者找管理员后台重置。

### Q5:多角色用户(admin + agent)怎么登录?
A:扫码登录成功后,Portal 自动跳到角色选择页,选你要进入的工作台。

### Q6:H5 员工端也需要扫码吗?
A:不需要。H5 员工端仍在企微内,沿用企微 OAuth。

### Q7:扫码登录安全吗?
A:扫码登录比企微 OAuth 还安全:
- 员工必须用企微扫(企微已经做了员工身份认证)
- 二维码 120 秒过期
- Token 8 小时过期
- 高危操作还要再 OTP 一次

---

## 📞 技术支持

- 内部: 信息技术部 服务台
- 紧急: 群里 @ IT 主管
- 反馈: https://itsupport.servyou.com.cn/itdesk/feedback

---

**变更历史**:
- 2026-06-21 创建(Phase 1+2 培训)