simon/wecom_it_smart_desk
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
bf872da8bb29ede117e0627057434fc0380c4026
wecom_it_smart_desk/docs/USER-GUIDE-QRCODE-MFA.md
T
Simon c1ac9b936c docs: 扫码登录+OTP 用户手册 + Phase 1+2 部署手册 (task #21 初稿) 
- docs/USER-GUIDE-QRCODE-MFA.md — 员工/坐席/管理员三端用户指南
  - 扫码登录流程
  - OTP 绑定步骤
  - 高危操作 OTP 弹窗
  - 蜂鸟 SMS 备用通道
  - 丢手机兜底(管理员后台重置)
  - 常见问题 FAQ

- docs/DEPLOY-LOGIN-MIGRATION-v0.7.0.md — 运维部署手册
  - 部署前检查(依赖/migration/配置/域名)
  - 部署步骤(后端→前端 4 端→nginx→migration→验收)
  - RO bind mount 陷阱提示
  - 容器名坑(nginx 用 wecom_it_nginx)
  - 回滚方案
  - 已知风险与缓解

后续:task #21 E2E 验收 + 集成测试会在代码合入后补充
2026-06-21 01:14:59 +08:00

4.2 KiB
Raw Blame History

用户手册:扫码登录 + OTP 二次认证(Phase 1+2)

创建:2026-06-21 适用版本:v0.7.0+ (Phase 1+2 上线后) 读者:全体员工、坐席、管理员

📖 这是什么?

从 v0.7.0 开始,登录方式升级为扫码登录 + OTP 二次认证:

  • 不再依赖企业微信应用入口,任意浏览器都能打开
  • 多角色用户(坐席+管理员)可在 Portal 选角色自动跳转
  • 管理员每次登录强制 OTP,高危操作也强制 OTP
  • 备用通道:蜂鸟短信(手机丢/没装 Authenticator 时用)

🧑‍💼 员工端(H5)

入口

  • 仍在企微内打开"IT智能服务台"应用
  • 不需要扫码登录,沿用企微 OAuth

使用场景

  • 提工单
  • 看历史会话
  • 查知识库

🧑‍🔧 坐席端(Agent)

首次登录(扫码)

步骤 1:浏览器访问 https://itsupport.servyou.com.cn/itportal/
步骤 2:页面显示二维码(120 秒有效)
步骤 3:用企业微信扫 → 确认登录
步骤 4:自动跳到 /itagent/workspace

日常登录

  • 浏览器直接打开 https://itsupport.servyou.com.cn/itagent/
  • 没登录 → 自动跳到 Portal 扫码
  • 第二次扫码可免重复(浏览器记住 localStorage)

高危操作时 OTP

如果你是坐席+管理员(双角色),触发以下操作前会弹 OTP 输入框:

  • 改权限
  • 改系统配置
  • 导出数据
  • 封号
  • 新增账号/MFA 重置

弹框出现 → 输入 Authenticator 6 位码 → 验证通过(30 分钟内免重输)

🛡️ 管理员端(Admin)

入口

  • 浏览器直接打开 https://itsupport.servyou.com.cn/itadmin/
  • 没登录 → 自动跳到 Portal 扫码

强制 OTP

管理员每次登录都需要 OTP:

  • 扫码登录成功后,会跳到 MFA 绑定页(首次)或 OTP 验证页
  • 输入 Authenticator 6 位码 → 进入管理后台
  • 高危操作前还要再验一次(30 分钟内免重输)

首次绑定 OTP(强制)

步骤 1:登录后 → 自动跳 /mfa-bind
步骤 2:用 Google Authenticator / 微软 Authenticator / Authy 扫描二维码
步骤 3:输入 Authenticator 显示的 6 位码 → 点"启用 OTP"
步骤 4:绑定成功,后续登录用 OTP 验证

丢手机兜底(管理员后台重置)

如果你手机丢了/坏了,找其他管理员重置:

步骤 1:其他管理员登录 /itadmin/
步骤 2:进入"用户管理" → "MFA 管理"
步骤 3:搜索你的姓名 → 点"重置 MFA"
步骤 4:你下次登录时重新绑定 OTP

🆘 备用通道:蜂鸟 SMS

什么情况下用:

  • 📱 手机丢了/坏了
  • 🆕 刚入职,还没装 Authenticator
  • 🔧 Authenticator 客户端不兼容

怎么用:

  • 在 OTP 输入页点"收不到验证码?短信验证"
  • 输入手机号(企微已绑定)→ 收短信码 → 验证

📱 推荐 OTP 客户端

客户端 平台 推荐度
Google Authenticator iOS / Android
微软 Authenticator iOS / Android
Authy iOS / Android / 桌面
1Password 全平台

公司偏好:Google Authenticator(零依赖,离线可用)

常见问题

Q1:扫码登录过期了怎么办?

A:二维码有效期 120 秒,过期后点"刷新二维码"按钮。

Q2:扫码登录失败?

A:

  • 确认用的是企业微信(不是普通微信)
  • 确认企微里能看到"IT智能服务台"应用
  • 刷新页面重新生成二维码

Q3:OTP 输入错误?

A:连续 5 次错误会被锁定 5 分钟,等 5 分钟后再试。

Q4:换手机了怎么办?

A:登录前在旧手机上导出 OTP(Google Authenticator 支持),或者找管理员后台重置。

Q5:多角色用户(admin + agent)怎么登录?

A:扫码登录成功后,Portal 自动跳到角色选择页,选你要进入的工作台。

Q6:H5 员工端也需要扫码吗?

A:不需要。H5 员工端仍在企微内,沿用企微 OAuth。

Q7:扫码登录安全吗?

A:扫码登录比企微 OAuth 还安全:

  • 员工必须用企微扫(企微已经做了员工身份认证)
  • 二维码 120 秒过期
  • Token 8 小时过期
  • 高危操作还要再 OTP 一次

📞 技术支持

变更历史:

  • 2026-06-21 创建(Phase 1+2 培训)
Reference in New Issue View Git Blame Copy Permalink