基于微信生態(tài)的企業(yè)支撐系統(tǒng)安全建設(shè)方案

覃雷

摘? ?要：在部署企業(yè)對內(nèi)支撐系統(tǒng)時，為充分利用互聯(lián)網(wǎng)的便捷性及微信龐大用戶群優(yōu)勢，很多企業(yè)已經(jīng)把面向公眾銷售業(yè)務(wù)產(chǎn)品服務(wù)的商城系統(tǒng)部署到微信公眾號上。事實上微信生態(tài)允許我們在延續(xù)這種便捷性優(yōu)勢的前提下實現(xiàn)企業(yè)對內(nèi)支撐系統(tǒng)的快速部署。本文基于企業(yè)微信的微工作臺針對企業(yè)內(nèi)部非敏感性支撐系統(tǒng)的建設(shè)與部署提出自己的解決方案。

關(guān)鍵詞：微信? 企業(yè)微信? 支撐系統(tǒng)? 安全建設(shè)

中圖分類號：TP39? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）10（a）-0129-02

在互聯(lián)網(wǎng)上部署企業(yè)對內(nèi)支撐系統(tǒng)時，業(yè)務(wù)數(shù)據(jù)安全性及員工接入的便捷性是兩個重要的關(guān)切點。當(dāng)業(yè)務(wù)數(shù)據(jù)比較敏感時很多企業(yè)都采用了自建VPN接入的方式，企業(yè)自建的VPN涉及防火墻等安全防護的投入[1]，整體部署成本較高。對一些敏感性不高的業(yè)務(wù)系統(tǒng)，很多企業(yè)采用了直接在互聯(lián)網(wǎng)上部署的方式，這種方式意味所有互聯(lián)網(wǎng)用戶都可以看到系統(tǒng);同時員工需要記下各系統(tǒng)的賬號密碼并在每次登陸時輸入，既增加了系統(tǒng)安全風(fēng)險，也不方便員工使用。

本文主要研究解決以下問題來實現(xiàn)非敏感性對內(nèi)支撐系統(tǒng)相對更安全更便捷的建設(shè)與部署方案：如何用企業(yè)微信部署企業(yè)對內(nèi)支撐系統(tǒng)實現(xiàn)互聯(lián)網(wǎng)訪問渠道的有效控制;如何實現(xiàn)企業(yè)微信與公眾號粉絲數(shù)據(jù)的關(guān)聯(lián)，進而實現(xiàn)公眾號上的業(yè)務(wù)數(shù)據(jù)與企業(yè)微信上的內(nèi)部支撐系統(tǒng)數(shù)據(jù)關(guān)聯(lián)。本文涉及本地實驗環(huán)境如表1所示。

1? 在企業(yè)微信微工作臺中部署對內(nèi)支撐系統(tǒng)

1.1 為接入的支撐系統(tǒng)創(chuàng)建單獨的應(yīng)用并配置接入?yún)?shù)

在我們部署成功后，微信用戶可以同時通過微工作臺或企業(yè)微信APP來登陸所部署的支撐系統(tǒng)，雖然騰訊一直在引導(dǎo)用戶轉(zhuǎn)向企業(yè)微信APP，但本方案仍推薦微工作臺方式，企業(yè)微信的API接口已對微工作臺做兼容處理，所以對要接入的支撐系統(tǒng)來講，接入方式和代碼是完全一致的。微工作臺的優(yōu)勢是讓員工可以直接用微信而不需再安裝一個新的APP來登陸。

企業(yè)管理員登陸企業(yè)微信后臺后，在應(yīng)用管理頁面的自建區(qū)可以為要部署的各支撐系統(tǒng)單獨創(chuàng)建應(yīng)用，每個創(chuàng)建成功的應(yīng)用都將獲得自己的Secret及應(yīng)用的單獨參數(shù)配置頁面。我們需要進入應(yīng)用參數(shù)配置頁面中啟用“網(wǎng)頁授權(quán)及JS-SDK”（把企業(yè)支撐系統(tǒng)的訪問域名填入即可），同時還需進入“消息接收”選項中啟用API接收（配置接收消息的URL）。

1.2 支撐系統(tǒng)登陸代碼改造為“從企業(yè)微信微平臺接入并通過OAuth2.0鑒權(quán)登陸”

將企業(yè)支撐系統(tǒng)接入企業(yè)微信實際上僅需對原支撐系統(tǒng)的登陸代碼做一定改造優(yōu)化，即把原登陸代碼中“核對用戶登陸名密碼并登陸”部分改造為“微信OAuth2.0鑒權(quán)并登陸”，處理邏輯詳見圖1。

雖然企業(yè)微信應(yīng)用接入access_token有效期一般是2h[2]，但接入微信服務(wù)端的API頻次是有限制的[3]。所以為保障接入正常上圖2中的第4、5步驟我們完成可以把新獲取到的access_token先保存到本地數(shù)據(jù)庫，后續(xù)應(yīng)用需使用時先從本地數(shù)據(jù)庫讀取，如本地過期則重新刷新并保存。這樣可以實現(xiàn)應(yīng)用內(nèi)并發(fā)的多個接入點共享重復(fù)使用access_token。

1.3 創(chuàng)建微信消息接收與響應(yīng)處理頁

企業(yè)支撐系統(tǒng)與微信做數(shù)據(jù)交互時，微信服務(wù)器的所有響應(yīng)信息全部推送到接收消息URL（即上文“消息接收”選項中配置的URL）。微信交互的消息處理及員工的登陸日志，我們可以在此“消息接收”頁面程序中實現(xiàn)。

2? 企業(yè)支撐系統(tǒng)登陸帳號的對接同步與維護

2.1 規(guī)范企業(yè)微信登陸帳號

因為登陸鑒權(quán)入口由企業(yè)微信控制，所以企業(yè)微信的成員就是最好的支撐系統(tǒng)登陸帳號，維護企業(yè)微信的通訊錄即是企業(yè)支撐系統(tǒng)登陸帳號，而員工登陸后的業(yè)務(wù)權(quán)限則由支撐系統(tǒng)在后臺代碼中另外控制即可。

企業(yè)微信成員支持兩種加入方式，方式一：管理員預(yù)先在企業(yè)微信后臺批量導(dǎo)入成員帳號清單做預(yù)授權(quán)，成員通過微信（掃碼或搜索企業(yè)名稱）關(guān)注微工作臺即可完成加入流程;方式二：成員從微信（掃碼或搜索企業(yè)名稱）關(guān)注微工作臺（關(guān)注后審核之前看不到任何信息，相當(dāng)于申請），然后管理員從企業(yè)微信的后臺進行審核。無論是哪種加入方式，企業(yè)微信的管理員都可以對成員的帳號進行編輯定制，這一點我們后面的同步管理非常有利。本方案推薦員工統(tǒng)一以自己手機號作為成員帳號（默認是微信號，所以管理員需要做出規(guī)范要求）。

2.2 創(chuàng)建同步服務(wù)，定時從微信API服務(wù)器同步企業(yè)微信通訊錄數(shù)據(jù)

盡管通過消息接收API，支撐系統(tǒng)后臺可以獲得微信服務(wù)器推送的成員關(guān)注、取關(guān)消息，但互聯(lián)網(wǎng)網(wǎng)絡(luò)異常情況時有發(fā)生，而微信服務(wù)器并不會因前期異常而重新下發(fā)用戶消息。所以建立一個主動與微信服務(wù)器同步企業(yè)微信通訊錄的服務(wù)是很必要的。因為同步作業(yè)可以完全不需人工交互，所以創(chuàng)建一個服務(wù)來實現(xiàn)比較合適。企業(yè)微信的通訊錄同步可以分為部門同步和部門成員同步。為方便管理，部門及成員的表結(jié)構(gòu)可以完全按微信服務(wù)端的結(jié)構(gòu)建立。同步時先同步部門再同步成員，代碼示例見圖2。

同步的處理策略：（1）每天定時拉取最新成員列表通過userid與本地庫進行比對;（2）最新成員列表沒有但本地庫存在的表示已取消關(guān)注;（3）最新成員列表有但本地庫沒有的則是新增成員，對新增成員進一步向微信接口獲取完整用戶信息后保存到到本地數(shù)據(jù)庫;（4）當(dāng)企業(yè)員工較多時，可能涉及長時間占用本地計算資源來做寫入操作，這種情況下建議選擇非業(yè)務(wù)高峰時段進行同步作業(yè)。需要特別說明的是，因為企業(yè)微信通訊錄只影響登陸而不涉及業(yè)務(wù)權(quán)限管控，所以在同步通訊錄時對新加入的成員要做好默認業(yè)務(wù)權(quán)限的配置。

2.3 可將企業(yè)微信成員與公眾號粉絲關(guān)聯(lián)，實現(xiàn)微信生態(tài)內(nèi)部分業(yè)務(wù)場景的協(xié)同

對已在微信公眾號上建立了商城的企業(yè)，在運營中會有很多需要把企業(yè)員工與粉絲進行關(guān)聯(lián)的業(yè)務(wù)場景，比如：（1）為提高公眾號粉絲規(guī)模，公眾號運營團隊有時需要對粉絲進行細分并劃歸不同員工負責(zé);（2）商城銷售訂單采用促銷人激勵機制，社會促銷人員的發(fā)展需要發(fā)動員工進行組織和發(fā)展。由于我們已規(guī)定用員工手機號作為企業(yè)微信的成員帳號（即userid為手機號），要支撐上述場景只需引導(dǎo)過公眾號粉絲綁定手機號（這本身即是業(yè)務(wù)銷售的必要信息），然后與企業(yè)微信成員userid進行關(guān)聯(lián)即可。因為涉及公眾號粉絲維護，所以又要求我們對公眾號的粉絲也要進行同步，公眾號同步的策略與上文的企業(yè)微信通訊錄同步類似，在此略過。

3? 結(jié)語

接入企業(yè)微信進行部署后，通過OAuth2.0鑒權(quán)企業(yè)員工用自己微信就可以直接登陸企業(yè)內(nèi)部支撐系統(tǒng)，員工的微信號即相當(dāng)于支撐系統(tǒng)的登陸工號;哪些工號可以登陸由企業(yè)微信的通訊錄控制，登陸后的具體的業(yè)務(wù)權(quán)限由支撐系統(tǒng)自己管控;與此同時，支撐系統(tǒng)將對不通過企業(yè)微信的接入全部進行屏蔽。這些措施將幫助原來完全暴露在互聯(lián)網(wǎng)的企業(yè)支撐系統(tǒng)有效控制訪問接入的渠道，顯著提升支撐系統(tǒng)的安全性。此外，對已經(jīng)把網(wǎng)上商城部署到微信公眾號的企業(yè)，當(dāng)一些特殊業(yè)務(wù)場景需要做系統(tǒng)間的數(shù)據(jù)關(guān)聯(lián)或協(xié)同操作時，由于同樣基于微信生態(tài)這類支撐將變得更簡單快捷。

參考文獻

[1] 成松.企業(yè)網(wǎng)VPN接入方案設(shè)計與實施[D].南京：南京郵電大學(xué)，2016.

[2] 企業(yè)微信服務(wù)端API.https：//work.weixin.qq.com/api/doc#90000/90135/91039.

[3] 訪問頻率限制.https：//work.weixin.qq.com/api/doc#90000/90139/90312.