胡淼 謝華 李俊

摘? 要：目前許多高?；谄髽I(yè)微信搭建移動服務平臺，并通過統(tǒng)一身份認證平臺與企業(yè)微信的對接為用戶提供“免登錄”體驗，但使得多身份用戶在使用企業(yè)微信時無法明確身份的難題凸顯。文章對企業(yè)微信接口與身份認證機制進行了研究，通過梳理數(shù)據(jù)源、確定合重方式、同步推送數(shù)據(jù)以及提供身份切換等一系列措施，實踐解決了多身份難題，同時完成身份數(shù)據(jù)的初步治理，為搭建身份治理平臺提供基礎與方向。

關鍵詞：企業(yè)微信；統(tǒng)一身份認證；多身份；身份治理

中圖分類號：TP311? 文獻標識碼：A? 文章編號：2096-4706（2023）02-0015-03

Solution and Practice of University Enterprise's WeChat Multi Identity Problem

HU Miao， XIE Hua， LI Jun

（Nanjing Sport Institute， Nanjing? 210014， China）

Abstract： At present， many colleges and universities build mobile service platforms based on enterprise WeChat， and provide users with a “l(fā)ogin free” experience through the connection between the unified identity authentication platform and enterprise WeChat. However， the problem that multi identity users cannot identify themselves when using enterprise WeChat is highlighted. This paper studies the enterprise WeChat interface and identity authentication mechanism. Through a series of measures such as sorting out the data source， determining the way of combining， synchronously pushing data and providing identity switching， it solves the multi identity problem and completes the initial governance of identity data， providing the foundation and direction for building an identity governance platform.

Keywords： enterprise WeChat; unified identity authentication; multi identity; identity governance

0? 引? 言

隨著信息化不斷發(fā)展，各高校積極推進智慧校園建設，滿足各應用需求的業(yè)務系統(tǒng)層出不窮，但同時也帶來了網(wǎng)絡信息安全隱患、各系統(tǒng)賬號密碼繁多、系統(tǒng)間存在應用壁壘和數(shù)據(jù)孤島等問題，為解決上述問題，將現(xiàn)有業(yè)務系統(tǒng)適當改造，與校園統(tǒng)一身份認證平臺對接，實現(xiàn)身份與權限的統(tǒng)一管理與認證，成為當今主流。以筆者所在學?！暇w育學院為例，目前已完成全量數(shù)據(jù)中心、統(tǒng)一身份認證平臺以及融合門戶建設，與我校教務、學工、人事、科研等30多個業(yè)務系統(tǒng)完成認證及數(shù)據(jù)集成。

隨著移動服務的需求不斷增加，企業(yè)微信作為騰訊公司推出的一款專業(yè)辦公管理平臺，具有開發(fā)及推廣成本低、用戶黏度高、信息推送量不限且及時準確、安全性能較高、用戶通訊錄認證技術、終端適配等優(yōu)勢，筆者學校選擇基于企業(yè)微信搭建移動端校園應用，但與此同時，校園應用與企業(yè)微信對接過程中，本身就存在弊端的多身份認證問題凸顯，亟待解決。

1? 存在問題

1.1? 相關技術概念

企業(yè)微信在身份認證體系構建方面提供了通訊錄管理以及身份驗證兩類基礎功能接口，能夠為校園移動應用在用戶的身份權限管理上提供方便的功能支撐[2]。

1.1.1? 通訊錄管理接口

提供用戶信息、組織機構信息的同步功能，學校通過該接口將教職工、學生、臨時人員等用戶信息以及全校組織機構（包括用戶組、崗位、角色等）信息同步至企業(yè)微信通訊錄，從而搭建通信錄認證白名單。

值得注意的是，接口中用戶信息字段UserID、mobile、email三者企業(yè)內(nèi)必須唯一，也就意味著企業(yè)用戶通過手機號碼或郵箱來標識自己在企業(yè)內(nèi)的唯一身份。

1.1.2? 身份驗證接口

企業(yè)微信提供了基于OAuth2協(xié)議的網(wǎng)頁授權登錄與掃碼授權登錄兩種身份驗證方式，與之對接的校園應用可通過該接口獲取當前登錄企業(yè)微信的用戶信息（UserID等參數(shù)）。

1.2? “企業(yè)微信+統(tǒng)一身份認證”模式下的免登錄體驗

筆者所在學?；谄髽I(yè)微信提供的上述接口，將學校統(tǒng)一身份認證平臺與企業(yè)微信完成身份認證技術對接，可以實現(xiàn)用戶在企業(yè)微信客戶端使用校園應用時達到“無感知”身份認證（無須輸入賬號密碼）。

首先，學校統(tǒng)一身份認證平臺與企業(yè)微信對接通訊錄管理接口，實現(xiàn)用戶信息、組織機構信息的實時同步，保證校園合法用戶才能使用手機號碼或手機號碼綁定的微信賬號登錄校園企業(yè)微信。

其次，用戶通過企業(yè)微信客戶端訪問校園應用時，統(tǒng)一身份認證平臺通過企業(yè)微信提供的身份驗證接口獲取當前登錄用戶信息并進行身份認證，免去用戶輸入賬號、密碼環(huán)節(jié)。具體過程如圖1所示。①用戶點擊企業(yè)微信中提供的校園應用鏈接，該鏈接均由各校園應用提供商構造的OAuth2協(xié)議鏈接；②企業(yè)微信后臺根據(jù)用戶請求中攜帶的各類參數(shù)，驗證用戶及請求的合法性；③若驗證合法，企業(yè)微信后臺返回攜帶有授權碼的應用鏈接，企業(yè)微信客戶端根據(jù)返回的應用鏈接重定向至對應的校園應用，請求服務；④校園應用接收到請求后，向校園統(tǒng)一身份認證平臺請求身份認證，驗證用戶合法性、獲取身份信息；⑤統(tǒng)一身份認證平臺使用授權碼通過企業(yè)微信提供的身份驗證接口API獲取當前登錄用戶身份信息，包括UserID、所在部門等信息；⑥統(tǒng)一身份認證平臺根據(jù)獲取到的用戶信息驗證用戶合法性，并向校園應用返回認證結果，包含用戶必要信息；⑦校園應用獲得認證結果后，根據(jù)用戶信息建立相應會話資源，并向企業(yè)微信返回授權資源及結果；⑧企業(yè)微信客戶端根據(jù)授權資源向用戶展現(xiàn)相應的應用頁面。

1.3? 多身份現(xiàn)象及企業(yè)微信“免登錄”場景下存在的問題

由于筆者所在學校培養(yǎng)方向的特殊性，除教職工、學生等人員外，還存在教練員、運動員等身份用戶，且校園存在大量人員具有多重身份，例如：教職工同時進行學位深造屬于學生身份，在讀學生同時屬于校運動隊在訓運動員身份，甚至復雜情況下一個人同時具有3～4個校園身份。

多身份用戶在使用學校各類業(yè)務及資源時，出現(xiàn)以下幾點問題。

1.3.1? 需記住多套身份賬號密碼

具有多身份的用戶在處理不同身份事項時，即使學校已搭建統(tǒng)一身份認證機制，但仍需要使用不同身份的賬號和密碼登錄，因為統(tǒng)一身份認證機制僅解決了同一身份在不同業(yè)務系統(tǒng)中的重復登錄問題，針對多身份情況，仍需要用戶記住多套賬號和密碼，來回登錄，使用感受較差。

1.3.2? 使用企業(yè)微信時無法明確身份

在企業(yè)微信“免登錄”場景下，多身份問題進一步凸顯，且直接影響業(yè)務使用，具體情況如下：

企業(yè)微信以手機號碼或郵箱（一般為手機號碼）作為通訊錄唯一標識，這使得學校與企業(yè)微信同步通訊錄數(shù)據(jù)后，企業(yè)微信根據(jù)同步推送的手機號碼為每一個企業(yè)微信用戶確定一個身份（對應一個UserID），如果單純想要在企業(yè)微信中區(qū)分多重身份，需要用戶使用不同手機號碼（或不同手機號碼綁定的微信）加入企業(yè)微信才能實現(xiàn)。而正常情況下即使擁有校園多重身份的用戶，在系統(tǒng)登記使用的手機號碼通常只有一個，也就是身份賬號不同，但手機號碼相同，這就使得多身份用戶無法在企業(yè)微信獲得多個身份。統(tǒng)一身份認證平臺通過企業(yè)微信提供的身份驗證接口獲取登錄用戶的UserID也只能與系統(tǒng)登記的手機號碼產(chǎn)生對應關系，無法明確用戶的具體身份，無法為用戶確定具體業(yè)務權限，這使得多身份用戶在企業(yè)微信客戶端無法正常使用校園業(yè)務。

2? 解決與實踐

2.1? 解決思路

2.1.1? 匯總數(shù)據(jù)統(tǒng)一歸類

梳理不同身份數(shù)據(jù)的數(shù)據(jù)來源，明確集成方式，確保每一類身份數(shù)據(jù)擁有唯一的權威數(shù)據(jù)源；根據(jù)企業(yè)微信接口性質(zhì)，確定身份數(shù)據(jù)以手機號碼進行歸類合重，并嚴格控制手機號碼的數(shù)據(jù)來源及修改渠道，保證合重準確性。

筆者所在學校將身份類型分為五大類，包括教職工、本科生、研究生、運動員、臨時人員，這五類身份數(shù)據(jù)來源分別為：人事系統(tǒng)、教務系統(tǒng)、研究生系統(tǒng)、訓練系統(tǒng)及流程平臺。這些業(yè)務系統(tǒng)均與學校數(shù)據(jù)中心完成數(shù)據(jù)集成與同步，數(shù)據(jù)中心再將匯總數(shù)據(jù)同步給統(tǒng)一身份認證平臺，由統(tǒng)一身份認證平臺完成歸類合重，并提供唯一的手機號碼修改渠道，成為學校手機號碼的權威數(shù)據(jù)源，并反向同步更新給數(shù)據(jù)中心，從而保證數(shù)據(jù)一致性。

2.1.2? 實現(xiàn)數(shù)據(jù)同步推送

將全校身份數(shù)據(jù)根據(jù)手機號碼歸類合重，對應同一個用戶并展示，根據(jù)企業(yè)微信接口性質(zhì)，為每一個用戶標記UserID，完成手機號碼與UserID的一對一關系，明確每個身份數(shù)據(jù)的有效期，清理、修改和完善各業(yè)務系統(tǒng)的歷史推送數(shù)據(jù)，并適當修改業(yè)務邏輯，保證后續(xù)數(shù)據(jù)的準確性，完成身份數(shù)據(jù)的初步治理。根據(jù)身份數(shù)據(jù)的有效期，將每個用戶（UserID及手機號碼）的有效身份數(shù)據(jù)推送至企業(yè)微信，保證一個手機號可以對應多個身份，建設企業(yè)微信通訊錄白名單。

2.1.3? 提供多重身份切換登錄

當用戶通過企業(yè)微信客戶端進行免登錄認證時，統(tǒng)一身份認證平臺通過企業(yè)微信提供的身份驗證接口獲取當前登錄用戶信息（UserID），便能方便快捷地查詢出該用戶的所有身份數(shù)據(jù)，并提供身份選擇/切換頁面，用戶選擇相應身份后，便能夠以該身份訪問相應業(yè)務系統(tǒng)，處理對應身份業(yè)務，從而有效解決多身份用戶使用企業(yè)微信時無法明確身份的問題。

同時，統(tǒng)一身份認證平臺提供“手機號碼+密碼”登錄方式，當以該方式進行認證時，平臺同樣根據(jù)手機號碼查詢出該用戶的所有身份數(shù)據(jù)，并提供身份選擇/切換頁面，從而解決多身份用戶需使用不同身份賬號密碼才能登錄對應身份辦理身份事項的難題。

2.1.4? 實現(xiàn)共享治理成果

多身份問題可能不局限在一個平臺或一種應用場景，開放梳理完成的多身份數(shù)據(jù)及相關接口供其他系統(tǒng)使用，可解決共性問題，共享治理成果。

2.2? 實踐效果

2.2.1? 登錄

多身份治理完成后，用戶無須記住多個身份賬號及密碼，可根據(jù)合重的手機號碼登錄，再選擇相應身份進入系統(tǒng)。身份選擇與切換界面如圖2所示。

2.2.2? 企業(yè)微信客戶端

企業(yè)微信客戶端提供免登錄體驗的同時，多身份用戶直接按需選擇業(yè)務辦理的身份，提高用戶辦理事項的使用效率。

2.2.3? 后臺管理端

后臺管理端根據(jù)“一用戶多身份”匯總展示身份數(shù)據(jù)，并標識各身份狀態(tài)及有效期。后臺“一用戶多身份”數(shù)據(jù)展示效果界面如圖3所示。

3? 結? 論

筆者所在學校基于企業(yè)微信搭建校園移動辦公環(huán)境，并通過統(tǒng)一身份認證平臺與企業(yè)微信的對接為用戶提供方便快捷的“免登錄”體驗，但使得多身份用戶在使用企業(yè)微信時無法明確身份的難題更為突出，學校通過對企業(yè)微信接口與身份認證機制進行研究，提出緊抓數(shù)據(jù)來源、明確合重方式、同步推送數(shù)據(jù)、提供身份切換等一系列措施，使得多身份用戶不必記住多套身份賬號和密碼，只需使用“手機號碼+密碼”登錄方式便可在多個身份中來回切換選擇，同時通過企業(yè)微信使用校園應用時，也可通過“免登錄+選擇身份”方式以明確的身份進入具體應用完成相應事務。與此同時，學校也完成了身份數(shù)據(jù)的初步治理，并開放數(shù)據(jù)接口、共享治理成果，為學校身份治理提供了基礎與方向。

后續(xù)，學校在多身份方面仍有許多新的探究方向：首先，針對學校一人多身份的應用需求下，目前尚無模型或平臺能夠?qū)崿F(xiàn)業(yè)務辦理與消息通知等徹底融合的場景，例如：用戶可查看自己全部身份權限下能夠使用的應用，并選擇相應應用與身份進入系統(tǒng)；用戶可查看自己全部身份權限下的待辦任務，并以相應身份完成對應的任務；用戶能夠收到自己全部身份權限下的消息提醒等。同時，后臺管理端層面目前也只是具備多身份數(shù)據(jù)的展示功能，后續(xù)可搭建基于機構、崗位、人員等維度的身份治理平臺，基于校園機構、崗位及身份數(shù)據(jù)的治理成果提供可視化管理平臺，進一步實現(xiàn)高校身份治理。

參考文獻：

[1] 李建國，姚軍光.基于企業(yè)微信的移動校園建設研究 [J].青島遠洋船員職業(yè)學院學報，2021，42（3）：7-10.

[2] 張剛剛.智慧校園下“企業(yè)微信+CAS”的統(tǒng)一身份認證方案設計 [J].軟件導刊，2022，21（1）：34-39.

[3] 陳胤梁，江峰，王莉.淺談基于用戶體驗的校園統(tǒng)一身份認證系統(tǒng)優(yōu)化 [J].電腦知識與技術，2021，17（9）：68-70.

[4] 樂海平.基于微信企業(yè)號的高校移動服務平臺建設 [J].教育教學論壇，2020（47）：15-16.

[5] 許彩龍.基于微信企業(yè)號的高校移動門戶建設與應用 [J].數(shù)字技術與應用，2022，40（5）：208-210.

[6] 徐建，宗銳，寇贇，等.基于統(tǒng)一身份認證的微應用開發(fā)應用探索 [J].電子世界，2021（12）：57-58.

作者簡介：胡淼（1981—），女，漢族，江蘇無錫人，實驗師，碩士，研究方向：智慧校園建設與服務。

收稿日期：2022-08-29