统一用户中心详细方案设计

统一用户中，心详细设计报告制作人:期：2018-01版本：1.1目录TOC\o"1-5"\h\z\o"CurrentDocument"1系统结构6\o"CurrentDocument"1.1用户中心服务系统(UCS)6\o"CurrentDocument"1.2用户中心管理系统(UMS)61.3门户系统(Portal)7\o"CurrentDocument"1.4业务子系统接7\o"CurrentDocument"2用户中心服务系统(UCS)7\o"CurrentDocument"2.1用户中心服务系统安全性要求8\o"CurrentDocument"2.2系统帐号传递机制8\o"CurrentDocument"2.3登录界面8\o"CurrentDocument"2.4功能说明8\o"CurrentDocument"2.4.1单点登录9\o"CurrentDocument"会诺保持10\o"CurrentDocument"2.4.3单点退出10组织架构同步11\o"CurrentDocument"2.4.5消息推送11\o"CurrentDocument"2.5数据结构11\o"CurrentDocument"2.5.1表清单12\o"CurrentDocument"T_COMPANY公司表12T_DEPT部门表13\o"CurrentDocument"T_EMPL员工表13\o"CurrentDocument"T_USER用户表13T_DICTIONARY字典表14\o"CurrentDocument"T_ATTACHMENT附件表14\o"CurrentDocument"UC_ACCOUNT登录帐号表14\o"CurrentDocument"UC_APP业务系统表15\o"CurrentDocument"UC_BUTTON业务系统资源表15\o"CurrentDocument"UC_DATA业务系统数据表15\o"CurrentDocument"UC_MENU业务系统菜单表16\o"CurrentDocument"UC_ROLE业务系统角色表16\o"CurrentDocument"UC_ROLE_COMPANY角色公司关联表16\o"CurrentDocument"UC_ROLE_BUTTON角色资源关联表16\o"CurrentDocument"UC_ROLE_DATA角色数据关联表16\o"CurrentDocument"UC_ROLE_MENU角色菜单关联表17\o"CurrentDocument"UC_ROLE_EMPL角色员工关联表17\o"CurrentDocument"2.6用户中心提供的接口172.6.1通用接口调用方式17sso.login登录18sso.validateticket校验19sso.keepAlive保持用户登录状态20sso.logout单点退出21portal.getPageMould获取页面统一样式21account.checkAccount检查帐号是否可用22account.updatePwd用户修改密码23account.resetPwd忘记密码23user.reg用户注册24user.update用户修改25user.findByAccessToken根据AccessToken获取用户信息25user.findByParentId根据组织架构id获取用户信息26user.findAll查询所有用户信息27user.findRoleByUserId根据用户id查询用户权限27user.findRoleByAccessToken根据AccessToken查询用户权限28org.getDeptsByParentId获取组织机构信息292.7业务子系统需要实现的接口29sso.logoutNotify用户退出通知30user.updateNotify用户信息变更通知30org.updateNotify组织架构信息变更通知313用户中心管理系统（UMS）32TOC\o"1-5"\h\z3.1.1基本信息管理32菜单管理33\o"CurrentDocument"3.1.3数据项管理34\o"CurrentDocument"3.1.4资源项管理34\o"CurrentDocument"3.1.5角色管理343.1.6角色权限管理34\o"CurrentDocument"3.2企业管理35\o"CurrentDocument"3.2.1企业列表353.2.2企业信息维护35部门管理35\o"CurrentDocument"3.3.1部巨门列表35\o"CurrentDocument"3.3.2部门编辑35\o"CurrentDocument"3.4供应商内部权限管理36角色列表363.4.2角色权限关联36\o"CurrentDocument"3.5员工管理36员工列表36\o"CurrentDocument"3.5.2员工删除36\o"CurrentDocument"3.5.3修改密码37\o"CurrentDocument"3.5.4用户锁定37\o"CurrentDocument"3.5.5员工编辑37\o"CurrentDocument"3.5.6角色授予374门户系统（Portal）37\o"CurrentDocument"4.1用户登录37\o"CurrentDocument"4.1.1登录页面38\o"CurrentDocument"4.1.2单点登录38\o"CurrentDocument"4.1.3会诺保持38\o"CurrentDocument"4.1.4单点退出38\o"CurrentDocument"4.2用户主页38\o"CurrentDocument"4.2.2导航菜单39\o"CurrentDocument"4.3用户注册39个人信息管理39\o"CurrentDocument"页面集成方式394.6平台服务集成错误!未定义书签。\o"CurrentDocument"4.7消息服务集成39\o"CurrentDocument"5微信服务号接入39\o"CurrentDocument"5.1微信绑定40\o"CurrentDocument"5.2微信消息推送40\o"CurrentDocument"6业务子系统接入406.1操作流程40\o"CurrentDocument"6.2需要实现的接口41\o"CurrentDocument"6.2.1单点登录41\o"CurrentDocument"6.2.2会诺保持41\o"CurrentDocument"6.2.3单点退出416.2.4组织架构、用户同步42\o"CurrentDocument"6.2.5菜单权限42\o"CurrentDocument"6.2.6数据权限42\o"CurrentDocument"6.2.7资源权限42\o"CurrentDocument"6.2.8消息通知43针对Java应用环境的封装43\o"CurrentDocument"6.3.1主要功能436.3.2过滤器配置说明43单机环境配置46分布式环境配置461系统结构用户中心服务系洗认证服务消息服劳用户接口服务统一授权管理1系统结构认证服务消息服劳用户接口服务统一授权管理LDAP用户观LDAP用户观用户维成单点登氤集成权限集成清怠集成界面第成各神应用系统1.1用户中心服务系统(UCS)提供平台登录界面；提供单点登录、单点退出、会话保持服务，并在传统CAS服务的功能上增加用户角色权限控制；提供第三方应用接入相关接口；提供用户、组织机构、权限相关接口；提供提醒消息服务的集成，允许业务子系统存储提醒消息，以及同步业务子系统自有消息模块中的消息1.2用户中心管理系统(UMS)统一用户管理使用统一身份认证平台的所有业务应用系统的全部用户，用户身份信息支持LDAP和数据库的同时存储。统一角色管理管理统一身份认证平台本身和平台中所有应用系统中需要使用到的角色信息，系统通过用户、角色、权限机制，以及角色、用户、权限批量处理机制，极大地方便了用户的权限分酉己。统一应用管理管理纳入统一身份认证平台的各应用系统的应用功能点和应用权限。统一授权管理实现用户与角色、角色与功能的对应管理，实现菜单权限、数据权限、资源权限等多种权限分发管理。同时，实现权限策略的定制和调用，便于实现与应用流程的紧密结合。1.3门户系统(Portal)平台主页，按角色权限提供平台整合的所有资源的入口；提供用户自身基本信息查看与维护功能；服务申请审批通过之后通知用户中心服务系统实现消息通知的接入；实现微信账号绑定，微信消息推送；1.4业务子系统接入实现单点登录、单点退出、会话保持的接入；用户信息实时或定时从用户中心服务系统同步；实现菜单权限控制接入；实现数据权限控制接入；实现资源权限控制接入；实现消息中心接入；2用户中心服务系统(UCS)平台SSO单点登录基于标准CAS认证流程，并优化超时验证流程，增加用户权限信息。2.1用户中心服务系统安全性要求用户中心服务系统可以使用HTTPS方式提供服务业务系统与认证服务器之间接口调用采用参数密钥校验2.2系统帐号传递机制在用户访问应用系统之前，由统一身份认证平台生成一次性的访问Ticket票据，并将Ticket提交给应用系统，应用系统请求统一身份认证平台验证Ticket有效性，之后返回认证结果和用户身份信息给应用系统。应用系统根据验证结果确认用户身份，并分酉己用户权限。Ticket默认有效时间5分钟，Ticket使用一次之后自动失效。2.3登录界面用户中心服务系统提供全平台唯一的登录界面已经登录的用户访问登录页面将自动跳转到平台首页，不允许一个浏览器在未退出时登录另一个账户。2.4功能说明

2.4.1单点登录用户访问业务系统如果业务系统session或登录缓存中判断用户没有登录，则控制客户端浏览器跳转到用户中心服务系统（UCS）的统一登录页面；如果业务系统已经登录，则判断是否到达需要发送保持用户登录状态心跳包的时间，向认证服务器用户状态保持接口发送消息；同时，业务服务器处理自有业务，响应用户。用户在用户中心服务系统登录完毕，系统记录登录信息并将浏览器跳转到业务系统服务器回跳页面，并带上url参数ticket票据业务服务器接收ticket参数向用户中心服务系统验证ticket合法性并获取用户信息和权限信息业务系统获取到用户信息，将登录信息记录session或登录缓存，标识已经登录，并根据返回的权限信息检验用户是否有操作权限；验证通过则执彳亍相应业务操作2.4.2会话保持用户登录成功之后，被访问的业务系统需要在当前用户有访问请求时（在线状态）每间隔一段时间（默认3分钟）向用户中心服务系统提交用户在线状态信息。保证认证服务中心能够感知到用户当前的活动状态。认证服务中心在一定时间（默认30分钟）内没有检测到用户的活动信息则判定用户状态为下线。将注销用户登录状态并通知所有业务系统注销该用户的登录状态。2.4.3单点退出与单点登录相对应，单点退出功能可以解决“单点登录”功能在方便用户的同时留下的安全隐患，用户在平台中主动下线或超时下线时，统一身份认证平台会向业务系统发起用户下线通知，告知业务系统，某用户已经下线，请销毁相关Session会话。2.4.4组织架构同步用户在门户系统注册，注册数据通过接口保存到用户中心服务系统；全量同步用户中心服务系统开通组织架构全量同步接口，提供给实时性要求不太高的子系统使用；实时增量同步在用户注册、信息变更、服务申请状态变化、删除等操作之后用户中心服务系统主动通知各个子系统变更的用户数据，提供给实时性要求高的子系统使用；2.4.5消息推送监听消息服务器中的消息数据，将各个子系统通过消息中心发出的通知消息推送给绑定的微信账号。2.5数据结构

2.5.1表清单名称注释T_COMPANY公•司表T_DEPT部门表T_EMPL员工信息T_USER用户信息T_DICTIONARY字典表T_ATTACHMENT附件表UC_ACCOUNT登录账号表UC_APP业务系统UC_BUTTON资源表UC_DATA数据表UC_MENU菜单表UC_ROLE角色表UC_ROLE_COMPANY角色公司关联表UC_ROLE_BUTTON角色资源关联表UC_ROLE_DATA角色数据关联表UC_ROLE_EMPL角色员工关联表UC_ROLE_MENU角色菜单关联表T_COMPANY公司表名称类型主键外键必填注释COMPANY_IDvarchar(50)TRUETRUE公司idPARENT_IDvarchar(50)父idCOMPANY_NAMEvarchar(200)公司名称COMPANY_CODEvarchar(200)公司编码CREATE_TIMEdatetime创建时间ZIP_CODEvarchar(50)公司邮编ADDRESSvarchar(200)公司地址EMAILvarchar(50)公司邮箱WEB_SITEvarchar(200)公司网址FAXvarchar(50)传真TELvarchar(50)企业电话BANKvarchar(100)开户银行BANK_ACCOUNTvarchar(50)银行账户

LEGAL_NAMEvarchar(50)公司法人姓名LEGAL_TELvarchar(50)公司法人联系方式2.5.3T_DEPT部门表名称类型主键外键必填注释DEPT_IDvarchar(50)TRUETRUE部门idPARENT_IDvarchar(50)上级部门idCOMPANY_IDvarchar(50)TRUE公司idDEPT_NAMEvarchar(200)部门名称CREATE_TIMEdatetime创建时间DEPT_CODEvarchar(200)部门编号TELvarchar(50)电话FAXvarchar(50)传真ZIP_CODEvarchar(50)邮编ADDRESSvarchar(500)地址2.5.4T_EMPL员工表名称类型主键外键必填注释EMPL_IDvarchar(50)TRUETRUE用户idUSER_IDvarchar(50)TRUE用户idCOMPANY_IDvarchar(50)TRUE公司idDEPT_IDvarchar(50)TRUE部门idCREATE_TIMEdatetime创建时间EMPL_CODEvarchar(50)员工编号EMPL_POSITIONvarchar(50)员工职位ENTRY_TIMEdatetime入职时间2.5.5T_USER用户表名称类型主键外键必填注释USER_IDvarchar(50)TRUETRUE用户idACCOUNT_IDvarchar(50)TRUE账号idUSER_NAMEvarchar(100)姓名CREATE_TIMEdatetime创建时间SEXnumeric(1,0)性别（1:男,0:女）

EMAILvarchar(50)邮箱MOBILEvarchar(50)手机号IDCARDvarchar(50)身份证2.5.6T_DICTIONARY字典表名称类型主键外键必填注释DICTIONARY_IDvarchar(50)TRUETRUE字典idDICT_CODEvarchar(50)字典编码PARENT_CODEvarchar(50)父编码DICT_NAMEvarchar(100)名称DICT_DESCvarchar(500)说明2.5.7T_ATTACHMENT附件表名称类型主键外键必填注释FILE_IDvarchar(50)TRUETRUE附件idGROUP_IDvarchar(50)附件组idFILE_PATHvarchar(500)附件路径FILE_NAMEvarchar(500)附件文件名FILE_SIZEnumeric(10,0)附件大小CREATE_TIMEdatetime创建时间CREATE_USERvarchar(50)创建者RECORD_TABLEvarchar(100)主记录所属表2.5.8UC_ACCOUNT登录帐号表名称类型主键外键必填注释ACCOUNT_IDvarchar(50)TRUETRUE账号idACCOUNT_NAMEvarchar(50)登录名ACCOUNT_PASSWORDvarchar(200)密码IS_ENABLEnumeric(1,0)是否可用（0:不可用，1:可用）CREATE_TIMEdatetime创建时间OPEN_IDvarchar(50)微信idIS_PLATnumeric(1,0)是否平台用户IS_SUPPnumeric(1,0)是否是供应商用户IS_BUYnumeric(1,0)是否是采购商用户

ACCOUNT_TELvarchar(50)ACCOUNT_EMAILvarchar(50)2.5.9UC_APP业务系统表名称类型主键外键必填注释APP_IDvarchar(50)TRUETRUE业务系统idAPP_NAMEvarchar(200)业务系统名称SECRET_KEYvarchar(200)接入密钥APP_LOGOvarchar(200)首页展示logo图片INDEX_URLvarchar(200)首页地址USER_NOTIFY_URLvarchar(200)用户信息变更通知地址DEPT_NOTIFY_URLvarchar(200)组织信息变更通知地址LOGOUT_NOTIFY_URLvarchar(200)单点退出通知地址2.5.10UC_BUTTON业务系统资源表名称类型主键外键必填注释BUTTON_IDvarchar(50)TRUETRUE资源idAPP_IDvarchar(50)TRUE子系统idBUTTON_CODEvarchar(100)资源编码BUTTON_NAMEvarchar(200)资源名称BUTTON_CLASSvarchar(200)资源分类ORDER_NUMnumeric(10,0)序号2.5.11UC_DATA业务系统数据表名称类型主键外键必填注释DATA_IDvarchar(50)TRUETRUEAPP_IDvarchar(50)TRUE子系统idDATA_CODEvarchar(100)数据编码DATA_NAMEvarchar(200)数据名称DATA_CLASSvarchar(200)数据分类DATA_EXPRESSIONvarchar(2000)数据sqlORDER_NUMnumeric(10,0)序号

2.5.12UC_MENU业务系统菜单表名称类型主键外键必填注释MENU_IDvarchar(50)TRUETRUEAPP_IDvarchar(50)TRUETRUE子系统idPARENT_IDvarchar(50)TRUE父idMENU_NAMEvarchar(100)菜单名称MENU_ICONvarchar(100)图标MENU_URLvarchar(200)地址ORDER_NUMnumeric(2,0)排序2.5.13UC_ROLE业务系统角色表名称类型主键外键必填注释ROLE_IDvarchar(50)TRUETRUE角色idAPP_IDvarchar(50)TRUETRUE子系统idCOMPANY_IDvarchar(50)TRUE创建公司idROLE_NAMEvarchar(100)角色名称UC_ROLE_COMPANY角色公司关联表名称类型主键外键必填注释ROLE_IDvarchar(50)TRUETRUETRUE角色idCOMPANY_IDvarchar(50)TRUETRUETRUE公司idUC_ROLE_BUTTON角色资源关联表名称类型主键外键必填注释BUTTON_IDvarchar(50)TRUETRUETRUE资源idROLE_IDvarchar(50)TRUETRUETRUE角色idUC_ROLE_DATA角色数据关联表名称类型主键外键必填注释DATA_IDvarchar(50)TRUETRUETRUE数据idROLE_IDvarchar(50)TRUETRUETRUE角色id

UC_ROLE_MENU角色菜单关联表名称类型主键外键必填注释MENU_IDvarchar(50)TRUETRUETRUE菜单idROLE_IDvarchar(50)TRUETRUETRUE角色idUC_ROLE_EMPL角色员工关联表名称类型主键外键必填注释ROLE_IDvarchar(50)TRUETRUETRUE角色idEMPL_IDvarchar(50)TRUETRUETRUE员工idIS_GRANTnumeric(1)TRUE是否允许授予2・6用户中心提供的接口2.6.1通用接口调用方式通信协议HTTPPOST请求格式application/x-www-form-urlencoded响应格式application/json>公用请求参数序号名称必填类型说明1secretString加密验证参数使用平台给业务系统分配的接口密钥secretKey与当前时间（yyyyMMddHHmmss格式）拼接之后使用AES加密，使用十六进制编码得到的字符串>响应结构序号名称类型说明1retCodeString返回消息码2messageString返回消息描述

3resultJSONJSON数据对象：下列所有接口返回数据都在此字段下(无数据返回时，无此字段)>公用响应编码编码说明000000成功700000接口令牌无效800000accessToken无效，没有相关用户信息900000异常sso.login登录功能说明接入方控制客户端浏览器跳转登录页面进彳亍登录操作发起方客户端浏览器请求方式浏览器跳转请求地址/sso/login.do>请求参数参数名类型说明backurlString登录完成之后的回跳地，URLEncoder(utf-8)编码>响应参数名类型说明ticketString获取用户信息的凭证，一分钟过期，一次有效>请求示例https://xxxxxx/sso/login.do?backurl=http%3A%2F%2Fxxx%2Fmobile>响应示例http://xxx/mobile?ticket=0fff8d0f896e4b7094a7f98cfc35e4e9sso.validateticket校验功能说明业务系统向用户中心服务系统校验登录ticket是否可用，并获取用户信息发起方业务服务器接口地址/sso/validate.do>请求参数序号名称必填类型说明1ticketYString用户登录之后浏览器回跳地址中的ticket参数2appIdNString业务系统Id3secretYString加密验证参数4onlySelfRoleNBoolean是否仅自有系统的权限列表>响应序号名称类型说明1accesstokenString用户接口令牌，服务端调用接口时使用2userObject用户信息2.1userIdString用户id2.2userNameString用户姓名2.3userTypeInteger用户类型，员工、供应商2.4companyIdString公司id2.5deptIdString部门id2.6servicesObject[]申请的服务数组2.6.1serviceCodeString服务编号

2.6.2serviceNameString服务名2.6.3serviceStatusInteger服务状态（1:待审核，2:审核拒绝，3:审核通过）2.7appsObject[]业务系统列表2.7.1appIdString业务系统id2.7.2rolesObject[]角色数组,包含菜单权限，数据权限，资源权限roleNameString角色名roleCodeString角色编码menusString[]菜单权限编号列表datasObject[]数据权限列表.1dataCodeString数据编码.2dataExpressioString数据SQL片段或表达式语句buttonsString[]资源权限编号列表>响应码表编码说明000000成功800000ticket校验失败900000服务端异常sso.keepAlive保持用户登录状态功能说明保持用户登录状态发起方PORTAL、各个接入单点登录的子系统接口地址/sso/keepAlive.do>请求参数序—名称必填类型说明1accessTokenYString用户接口令牌2secretYString加密验证参数>响应码表编码说明000000成功sso.logout单点退出功能说明退出登录发起方PORTAL、各个接入单点登录的子系统接口地址/sso/logout.do»请求参数序号名称必填类型说明1accessTokenYString用户接口令牌2secretYString加密验证参数>响应码表编码说明000000成功portal.getPageMould获取页面统~样式功能说明获取统一的页面头、尾、菜单等HTML代码段发起方子系统>接口地址/portal/getPageMould.do>请求参数座号名称必填类型说明

1accessTokenNString用户接口令牌，不填则表示未登录2secretYString加密验证参数>响应序号名称类型说明1headString头部信息2menuString菜单信息3footObject底部信息>响应码表编码说明000000成功account.checkAccount检查帐号是否可用功能说明PORTAL方账号注册时验证账号可用性发起方PORTAL接口地址/api/account/checkAccount.do>请求参数序号名称必填类型说明1accountYString账号2secretYString加密验证参数>响应码表编码说明000000成功100000账号被占用200000账号不符合规范account.updatePwd用户修改密码>功能说明用户修改密码发起方PORTAL接口地址/api/account/updatePwd.do»请求参数序号名称必填类型说明1accessTokenYString用户接口令牌2secretYString加密验证参数>响应码表编码说明000000成功100000修改失败,原始密码错误200000新密码不符合规范account.resetPwd忘记密码功能说明通过邮箱找回密码发起方PORTAL接口地址/api/account/updatePwd.do»请求参数序号名称必填类型说明1accountYString账号

2codeYString图形验证码>响应码表编码说明000000成功100000账号不存在200000用户邮件地址无效，邮件发送失败user.reg用户注册功能说明用户注册发起方PORTAL>接口地址/api/user/reg.do>请求参数序—名称必填类型说明1secretYString加密验证参数2accountYString用户名3passwordYString登录密码4nameYstring客户真实姓名5genderNstring性别6userTypeYInteger用户类别7deptIdYstring所属部门id8birthdayNstring生日9telnoNString手机号码>响应码表编码说明000000成功100000用户名冲突200000密码不符合规范user.update用户修改功能说明用户信息修改发起方PORTAL接口地址/api/user/update.do>请求参数序号名称必填类型说明1secretYString加密验证参数2accessTokenYString用户接口令牌3nameYstring客户真实姓名4genderNstring性别5userTypeYInteger用户类别6deptIdYstring所属部门id7birthdayNstring生日8telnoNString手机号码>响应码表编码说明000000成功user.findByAccessToken根据AccessToken获取用户信息功能说明木艮据AccessToken获取用户信息发起方子系统

>接口地址/api/user/findByAccessToken.do>请求参数座号名称必填类型说明1secretYString加密验证参数2accessTokenYString用户接口令牌>响应码表编码说明000000成功user.findByParentId根据组织架构id获取用户信息功能说明根据公司id或部门id获取用户信息发起方子系统接口地址/api/user/findByParentId.do>请求参数序号名称必填类型说明1secretYString加密验证参数2parentIdYString公司id或部门id3pageNInteger当前页码4pageSizeNInteger每页记录条数>响应码表编码说明000000成功user.findAll查询所有用户信息功能说明分页查询所有用户信息发起方子系统接口地址/api/user/findAll.do>请求参数序号名称必填类型说明1secretYString加密验证参数2pageNInteger当前页码3pageSizeNInteger每页记录条数>响应码表编码说明000000成功user.findRoleByUserId根据用户id查询用户权限功能说明根据用户id查询用户权限发起方子系统>接口地址/api/user/findRoleByUserId.do»请求参数序号名称必填类型说明1secretYString加密验证参数2userIdYString用户id

3appIdYString接入业务系统id>响应序号名称类型说明1rolesObject[]角色数组1.1roleNameString角色名1.2roleCodeString角色编码1.3menusString[]菜单权限列表1.4datasObject[]数据权限列表1.5buttonsString[]资源权限列表>响应码表编码说明000000成功100000用户不存在user.findRoleByAccessToken根据AccessToken查询用户权限功能说明根据用户id查询用户权限发■方子系统接口地址/api/user/findRoleByUserId.do>请求参数座号名称必填类型说明1secretYString加密验证参数2accessTokenYString用户接口令牌3appIdYString接入业务系统id>响应序号名称类型说明

1rolesObject[]角色数组1.1roleNameString角色名1.2roleCodeString角色编码1.3menusString[]菜单权限列表1.4datasObject[]数据权限列表1.5buttonsString[]资源权限列表>响应码表编码说明000000成功org.getDeptsByParentId获取组织机构信息功能说明根据公司或父部门获取组织机构信息发起方业务子系统>接口地址/api/org/getDeptsByParentId.do>请求参数序号名称必填类型说明1secretYString加密验证参数2parentIdYInteger公司id或父部门id>响应码表编码说明000000成功100000父节点不存在2.7业务子系统需要实现的接口2.7.1sso.logoutNotify用户退出通知>功能说明用户退出系统时用户中心服务系统将用户信息实时通知给各业务子系统>发起方用户中心服务系统>接收方业务子系统>请求格式application/x-www-form-urlencoded>响应格式application/json>请求参数序号名称必填类型说明1secretYString加密验证参数2accessTokenYString用户接口令牌>响应序号名称类型说明1retCodeString返回消息码2messageString返回消息描述>响应码表编码说明000000成功900000异常2.7.2user.updateNotify用户信息变更通知»功能说明用户信息变更时用户中心服务系统将变更后的用户信息实时通知给各业务子系统»发起方用户中心服务系统接收方业务子系统请求格式application/x-www-form-urlencoded»响应格式application/json>请求参数序号名称必填类型说明1secretYString加密验证参数2updateTypeYInteger1:注册，2:修改，3:删除3userYObject用户信息对象>响应序号名称类型说明1retCodeString返回消息码2messageString返回消息描述>响应码表编码说明000000成功900000异常2.7.3org.updateNotify组织架构信息变更通知功能说明组织架构信息变更时用户中心服务系统将变更后的组织架构信息实时通知给各业务子系统发起方用户中心服务系统接收方业务子系统请求格式application/x-www-form-urlencoded»响应格式application/json»请求参数序号名称必填类型说明1secretYString加密验证参数2updateTypeYInteger1:新增，2:修改，3:删除3deptYObject部门信息对象>响应序号名称类型说明1retCodeString返回消息码2messageString返回消息描述>响应码表编码说明000000成功900000异常3用户中心管理系统（UMS）3.1应用项目管理对于平台管理人员，可以管理各个接入子系统。针对每个业务子系统可以将其定义为一个应用项目3.1.1基本信息管理业务子系统主要属性包含：

业务编码appId，认证服务中心接口中注册业务系统的识别码，用于确定唯一业务系统业务名称业务子系统的名称secretKey业务系统访问认证服务接口时的加密密钥logoutNotifyUrl用户退出时向业务系统推送退出通知的接口地址indexUrl业务系统首页地址userNotifyUrl用户信息变更通知地址deptNotifyUrl组织信息变更通知地址3.1.2菜单管理管理项目的菜单列表，菜单以多级树状形式保存各个菜单项主要包含上级菜单、菜单名称、菜单编码、菜单路径、菜单排序号等信息菜单管理列表页原型图倾：L■虹ffWtEPn1315m-1iccrA/a四阳m&itmwvauiiunICCfB险*tE血谟航具珈二菜单管理列表页原型图倾：L■虹ffWtEPn1315m-1iccrA/a四阳m&itmwvauiiunICCfB险*tE血谟航具珈二1E.WticciiBstenfijtcnipage>'appkj=1ttrtg癫貌星地iccr£/syGeeRisage疗占ppId=*1iccnC丁珅EtcrTMonuAiWgia加ppld=1|Wt||HWt|iccnC『砂亦rri晦nil由典钩pplBI|wc||mliwnC局哦irWl心Ml帅窿pIB1|.她]|t»|=■■：?■■■siwnC湖WefTMenulKjagFappIcH/■：<■n!iwnC卬戒可映nuE币迎砰appld-1Z3-]管理项目的数据项列表，包含数据项编码、数据项名称、数据项内容等字段数据项分类用于按类别查询各个数据功能点数据项编码用于匹酉己子系统中的业务功能，同一功能点不同数据过滤条件的数据编码相同数据项内容可以己己置SQL片段语句或者表达式语句，业务系统可以执彳亍相关内容并嵌入到各自的业务模块进彳亍数据过滤3.1.4资源项管理管理项目的资源项列表，资源分为按钮、链接、图片、文本等类别每个资源项包含资源分类、资源编码、资源名称、资源URL等字段资源分类用于按类别查询各个资源项资源编码用于匹己己子系统中的资源项，各个子系统内资源编码不能重复业务系统可以根据所属页面和资源编码判断用户是否有权限显示和点击此资源3.1.5角色管理管理各个子系统的角色列表，此角色列表用于给供应商主账号授权，表示一个供应商拥有的最大权限。角色信息包含角色名称、角色编码和角色描述等信息。并能够己己置每个角色拥有的菜单权限、数据权限、资源权限。3.1.6角色权限管理角色关联菜单页面用于维护角色所拥有的菜单权限，使用弹出界面展示，菜单内容使用树形组件展示，拥有权限的菜单使用复选框选中状态展示角色关联数据页面用于维护角色所拥有的数据权限，使用弹出界面展示，数据内容使用表格展示，同一数据编码的数据合并为一彳亍，使用复选框标识拥有的数据权限角色关联资源页面用于维护角色所拥有的资源权限，使用弹出界面展示，资源内容使用表格展示，同一类别的数据合并为一彳亍，使用复选框标识拥有的资源权限3.2企业管理3.2.1企业列表对于平台管理员，提供界面展示和维护所有注册的供应商企业信息，每个企业拥有一个主账号。平台管理员可以禁用、启用指定企业账号的登录权限平台管理员可以查看和编辑企业所拥有的角色权限信息，企业所具有的角色在服务申请审批时在后台指定。网公用g球知1职捐2XD710075秘19Msi3成冲畛可CD尚6-2日日WL的E；F明4:0£跆曲贼^司剑蛤甘司GA420064■+S4.-27SH31720fl0aVMi5西：L£廓t事&西MBMJ830000瞄企业管理列表页面原型图3.2.2企业信息维护供应商可以维护自己的企业基本信息3.3部门管理对于有管理内部组织架构需求的公司或供应商，可以提供组织架构管理功能，用于管理内部部门信息。3.3.1部门列表组织机构支持多级管理，信息项包括机构名称、上级机构、排序、描述等信息。部门管理页面采用左边树形组织架构，右边部门表格列表形式展现，点击左侧部门右边表格显示下级部门信息3.3.2部门编辑点击部门列表页面的添加按钮时为左侧选中部门添加下级部门。左侧没有选择部门时添加一级部门点击部门列表页面的编辑按钮时可以编辑指定的部门数据3.4供应商内部权限管理供应商管理人员可以维护企业内部的角色权限信息，新建自定义角色，给每个角色指定各种不同的权限功能。3.4.1角色列表3.4.2角色权限关联供应商内部授权界面与平台角色授权界面一致，数据来源为供应商主账号所拥有的所有权限。3.5员工管理对于有管理内部人员需求的公司或供应商，可以提供用户管理功能，用于管理内部员工和账号权限信息。企业管理员可以为企业增加子账号，并为各个子账号分酉己不同的权限。3.5.1员工列表员工管理页面采用左边部门树，右边员工表格列表形式展现，点击左侧部门右边表格显示部门所属员工信息左侧部门树没有选中项时右侧默认展示所有员工信息3.5.2员工删除删除员工时删除员工与部门的关联数据，保留员工基本信息，员工账号状态设为禁用，以保证历史业务不受影响。企业主账号不允许删除。3.5.3修改密码管理人员点击员工列表的修改密码按钮可以修改员工的登录密码3.5.4用户锁定管理人员点击员工列表的锁定/解锁按钮可以锁定员工的登录帐号，控制员工能否登录系统。企业主账号不允许禁用。3.5.5员工编辑点击员工列表页面的添加按钮时为左侧选中部门添加部门员工。左侧没有选择部门时新添加员工不关联部门信息员工信息包含用户账号、类型、姓名、电子邮箱、性别、电话、所属组织、所拥有角色、用户状态等关键属性员工编辑页面提供为员工绑定多个部门，并且各个部门单独分酉己角色的功能，以实现人员在多部门任职且职务不同的特殊需求3.5.6角色授予供应商管理人员可以在用户编辑界面给用户授予指定角色所有角色列表数据来源为供应商管理人员使用权限管理功能建立的自定义角色数据可以指定被授予的角色能否由被授予人继续授予给他人能够给企业子账号分己己的最大权限为供应商主账号所拥有的所有权限企业主账号默认授予企业管理员角色，不允许修改4门户系统（Portal）门户系统基于现有中文站进彳亍升级改造。4.1用户登录4.1.1登录页面Portal以CAS-Client方式接入用户中心服务系统，调用用户中心服务系统的登录界面进彳亍登录。Portal原有的登录页面停用，统一使用用户中心服务系统的登录页面。4.1.2单点登录增加登录过滤器SsoFilter,监听所有后端请求，拦截地址栏参数ticket;如果存在ticket参数则从服务器session中注销当前登录用户，调用sso.validateticket接口验证ticket合法性，根据接口返回的登录用户数据在session中存放登录用户信息，标识登录状态；如果不存在ticket参数，则在服务器session中判断用户登录状态，如果已经登录则执彳亍后续业务流程，如果没有登录则控制浏览器跳转登录页面（sso.login接口）4.1.3会话保持在登录过滤器SsoFilter中加入会话保持时间判断逻辑，默认每隔三分钟调用一次sso.keepAlive接口保持用户在线状态。4.1.4单点退出退出功能需要调用sso.logout接口通知用户中心和所有子系统做退出操作。4.2用户主页4.2.1主页界面用户主页上方为项目信息展示区，包含项目名称、登录账号、修改密码、退出系统等功能；用户主页左边为项目资源区，通过树形结构将当前用户已申请的服务进彳亍展示，通过点击能跳转到服务对应的业务子系统；对未申请的服务可以提交申请门户系统提供包含所有子系统的消息提醒，点击消息连接可以跳转到对应子系统。4.2.2导航菜单左侧导航菜单根据单点登录返回的用户数据中的权限信息显示不同的菜单链接。左侧菜单包含UMS系统的菜单数据，以及部分具有权限的子系统的菜单数据。4.3用户注册用户注册数据提交给认证服务器做注册逻辑，门户系统不再单独保存用户数据。注册完成之后认证服务器会通知各个子系统新增的用户信息。注册的新用户对应一个企业主账号，主账号可以在UMS系统中管理自己下属组织架构和人员账号信息。4.4个人信息曾理门户系统提供用户信息维护界面，用户信息数据通过接口提交给用户中心服务系统进彳亍保存。个人信息变更之后认证服务器会通知各个子系统变更的用户信息。4.5页面集成方式业务子系统需要有统一的界面风格；业务系统通过调用portal.getPageMould接口获取页面顶部标题、用户、通知信息和页面左侧菜单信息的接口，相应html片段；业务子系统在实现单点登录、获取用户信息之后通过传入用户id可以获取到页面基础布局的html片段，然后将这个html片段拼接到自身业务数据页面头尾相应位置即可实现与门户一致的界面外观，用户信息展示。4.6消息服务集成门户系统通过接口读取消息数据，将所有子系统的消息集成到门户中进彳亍统一展示和跳转；5微信服务寻接入5.1微信绑定在门户系统的个人信息管理界面提供微信账号绑定功能。界面中展示微信公众号二维码提供给用户关注公众号；平台中每个账号拥有独立二维码，使用微信公众号扫描二维码可以绑定微信账号。5.2微信消息推送用户中心服务系统会监听所有系统消息，如果消息接收者绑定了微信账号，则将消息同步推送给微信账号；推送方式采用模板消息形式；预定义几种类型的消息模板，每种消息按分类选择模板提交给微信服务器将消息发出。6业务子系统接入6.1操作流程申请appId接入用户中心服务系统，手动分酉己业务系统的appId和接口密钥secretKey，并在UMS系统填写业务系统的基本信息»配置菜单在UMS系统录入业务系统的菜单信息配置数据权限项在UMS系统录入业务系统的数据权限项，如果子系统需要自彳亍控制数据权限可以不录入相关数据配置资源权限项在UMS系统录入业务系统的资源权限项，如果子系统需要自彳亍控制资源权限可以不录入相关数据配置角色在UMS系统录入业务系统需要的角色信息，并设置角色对应的菜单权限、数据权限和资源权限»实现单点登录接入实现单点登录、单点退出、会话保持，接入用户中心服务系统(UCS)实现用户和组织架构同步从用户中心服务系统获取用户基础信息，组织架构信息从用户中心服务系统获取用户和角色基本信息如子系统有内部用户组织架构，需要实现用户和组织架构同步接口，根据业务需要可选择实现定时全量同步和实时增量同步接口实现权限控制根据需要接入权限过滤，根据用户登录时返回的角色信息以及角色对应的菜单、数据、资源信息对用户的权限进彳亍过滤。6.2需要实现的接口6.2.1单点登录以Filter的方式监听所有请求，如未登录则跳转用户中心服务系统的登录页面进彳亍登录，需要传递登录成功之后的回调地址以Filter的方式监听所有请求，如果请求包含ticket参数，则调用用户中心服务系统sso.validateticket校验接口验证ticket合法性并获取用户信息和角色权限信息，供应商平台将数据存储到session中，标识该用户登录成功6.2.2金诺保持以Filter的方式监听所有请求，如果用户访问页面时距离上一次调用sso.keepAlive会话保持接口超过三分钟，则调用该接口通知用户中心服务系统该用户仍然在线。以保证各个业务系统和用户中心服务系统中用户登录状态的一致性。6.2.3单点退出在UMS系统中设置单点退出通知地址logoutNotifyUrl并实现接口实现用户退出6.2.4组织架构、用户同步实时增量同步实现用户通知接口和组织架构通知接口两个接口，用户中心会在用户信息和组织架构信息发生变化时将变化信息通知给业务子系统同步更新自有用户数据库。定时全量同步业务子系统定时调用获取组织架构和获取用户接口获取全量组织架构和用户数据，更新子系统自有数据库。6.2.5菜单权限登录用户权限的数据中包含有菜单权限列表业务子系统可以遍历用户拥有的菜单项的code字段对应上表给用户提供相应的菜单选项业务子系统以Filter的方式监听所有菜单的URL，如果用户拥有对应菜单的权限则可以响应对应页面，如果没有权限则响应无相应权限提示，对请求拦截过滤，进彳亍对应菜单的权限控制。6.2.6数据权限登录用户权限的数据中包含有数据权限列表数据权限列表中的数据项编码字段标识业务系统该数据项影响哪些业务；数据项内容字段可以填写SQL片段或者供应商平台能够执彳亍的表达式语句；在业务平台处理业务时，在用户的数据权限项中查找是否有对应业务的数据项，如果存在则将数据项内容嵌入到业务场景中。可以是SQL片段拼接到业务SQL中或者是表达式执彳亍结果拼接到业务代码中。6.2.7