Simon
c1ac9b936c
- docs/USER-GUIDE-QRCODE-MFA.md — 员工/坐席/管理员三端用户指南 - 扫码登录流程 - OTP 绑定步骤 - 高危操作 OTP 弹窗 - 蜂鸟 SMS 备用通道 - 丢手机兜底(管理员后台重置) - 常见问题 FAQ - docs/DEPLOY-LOGIN-MIGRATION-v0.7.0.md — 运维部署手册 - 部署前检查(依赖/migration/配置/域名) - 部署步骤(后端→前端 4 端→nginx→migration→验收) - RO bind mount 陷阱提示 - 容器名坑(nginx 用 wecom_it_nginx) - 回滚方案 - 已知风险与缓解 后续:task #21 E2E 验收 + 集成测试会在代码合入后补充
4.2 KiB
4.2 KiB
用户手册:扫码登录 + OTP 二次认证(Phase 1+2)
创建:2026-06-21 适用版本:v0.7.0+ (Phase 1+2 上线后) 读者:全体员工、坐席、管理员
📖 这是什么?
从 v0.7.0 开始,登录方式升级为扫码登录 + OTP 二次认证:
- ✅ 不再依赖企业微信应用入口,任意浏览器都能打开
- ✅ 多角色用户(坐席+管理员)可在 Portal 选角色自动跳转
- ✅ 管理员每次登录强制 OTP,高危操作也强制 OTP
- ✅ 备用通道:蜂鸟短信(手机丢/没装 Authenticator 时用)
🧑💼 员工端(H5)
入口
- 仍在企微内打开"IT智能服务台"应用
- 不需要扫码登录,沿用企微 OAuth
使用场景
- 提工单
- 看历史会话
- 查知识库
🧑🔧 坐席端(Agent)
首次登录(扫码)
步骤 1:浏览器访问 https://itsupport.servyou.com.cn/itportal/
步骤 2:页面显示二维码(120 秒有效)
步骤 3:用企业微信扫 → 确认登录
步骤 4:自动跳到 /itagent/workspace
日常登录
- 浏览器直接打开
https://itsupport.servyou.com.cn/itagent/ - 没登录 → 自动跳到 Portal 扫码
- 第二次扫码可免重复(浏览器记住 localStorage)
高危操作时 OTP
如果你是坐席+管理员(双角色),触发以下操作前会弹 OTP 输入框:
- 改权限
- 改系统配置
- 导出数据
- 封号
- 新增账号/MFA 重置
弹框出现 → 输入 Authenticator 6 位码 → 验证通过(30 分钟内免重输)
🛡️ 管理员端(Admin)
入口
- 浏览器直接打开
https://itsupport.servyou.com.cn/itadmin/ - 没登录 → 自动跳到 Portal 扫码
强制 OTP
管理员每次登录都需要 OTP:
- 扫码登录成功后,会跳到 MFA 绑定页(首次)或 OTP 验证页
- 输入 Authenticator 6 位码 → 进入管理后台
- 高危操作前还要再验一次(30 分钟内免重输)
首次绑定 OTP(强制)
步骤 1:登录后 → 自动跳 /mfa-bind
步骤 2:用 Google Authenticator / 微软 Authenticator / Authy 扫描二维码
步骤 3:输入 Authenticator 显示的 6 位码 → 点"启用 OTP"
步骤 4:绑定成功,后续登录用 OTP 验证
丢手机兜底(管理员后台重置)
如果你手机丢了/坏了,找其他管理员重置:
步骤 1:其他管理员登录 /itadmin/
步骤 2:进入"用户管理" → "MFA 管理"
步骤 3:搜索你的姓名 → 点"重置 MFA"
步骤 4:你下次登录时重新绑定 OTP
🆘 备用通道:蜂鸟 SMS
什么情况下用:
- 📱 手机丢了/坏了
- 🆕 刚入职,还没装 Authenticator
- 🔧 Authenticator 客户端不兼容
怎么用:
- 在 OTP 输入页点"收不到验证码?短信验证"
- 输入手机号(企微已绑定)→ 收短信码 → 验证
📱 推荐 OTP 客户端
| 客户端 | 平台 | 推荐度 |
|---|---|---|
| Google Authenticator | iOS / Android | ⭐⭐⭐⭐⭐ |
| 微软 Authenticator | iOS / Android | ⭐⭐⭐⭐ |
| Authy | iOS / Android / 桌面 | ⭐⭐⭐⭐⭐ |
| 1Password | 全平台 | ⭐⭐⭐ |
公司偏好:Google Authenticator(零依赖,离线可用)
❓ 常见问题
Q1:扫码登录过期了怎么办?
A:二维码有效期 120 秒,过期后点"刷新二维码"按钮。
Q2:扫码登录失败?
A:
- 确认用的是企业微信(不是普通微信)
- 确认企微里能看到"IT智能服务台"应用
- 刷新页面重新生成二维码
Q3:OTP 输入错误?
A:连续 5 次错误会被锁定 5 分钟,等 5 分钟后再试。
Q4:换手机了怎么办?
A:登录前在旧手机上导出 OTP(Google Authenticator 支持),或者找管理员后台重置。
Q5:多角色用户(admin + agent)怎么登录?
A:扫码登录成功后,Portal 自动跳到角色选择页,选你要进入的工作台。
Q6:H5 员工端也需要扫码吗?
A:不需要。H5 员工端仍在企微内,沿用企微 OAuth。
Q7:扫码登录安全吗?
A:扫码登录比企微 OAuth 还安全:
- 员工必须用企微扫(企微已经做了员工身份认证)
- 二维码 120 秒过期
- Token 8 小时过期
- 高危操作还要再 OTP 一次
📞 技术支持
- 内部: 信息技术部 服务台
- 紧急: 群里 @ IT 主管
- 反馈: https://itsupport.servyou.com.cn/itdesk/feedback
变更历史:
- 2026-06-21 创建(Phase 1+2 培训)