企业出于安全考虑，需要在修改功能或登录密级较高的页面时，对成员进行二次身份校验

企业需要双因子认证时，可以怎么操作？

该组件仅适用于私有化WPS365版本

1. 方案概述

一般来讲，用户登录的安全认证分为两种：

• 单因子认证：用户只需提供一种认证因子来登录，通常是账号密码、微信扫码、短信验证码等。
• 双因子认证：用户需要提供两种不同认证因子来登录，通常是账密+其它形式的身份验证，其他形式比如短信验证码、安全令牌等，具体选择通过后台配置实现。

文档中心使用的是单因子认证的方式。

出于安全考虑，企业需要在修改定制应用功能前，比如修改消息审计、全局配置前。

或登录密级较高的页面时，对成员进行二次身份校验。

针对这种情况，我们可以使用文档中心管理后台的开放能力，定制双因子认证

实现效果	用户登录管理后台时，页面会跳出窗口，提醒用户绑定二次认证。
支持端	文档中心管理后台
涉及接口	获取当前会话信息
版本限制	版本24-12a（含）以上
操作系统限制	支持X86、XC

2. 扩展应用对接

👉接口依赖

扩展应用中选择应用依赖，添加对应的接口依赖

根据接口文档，选择对应云文档V7所需依赖的接口

👉接口能力

在扩展应用中新建独立服务型组件，选择接口能力并新增API，

根据弹框中提示信息进行接口填写，请求方法GET，网关类型为c或proxy网关

👉接口详情

参考对应的接口文档

接口类型：365api内部网关

Request:

{
  "with_detail": boolean
}

1
2
3

Response:

{
  "data": {
    "account": "string",
    "avatar": "string",
    "company_id": "string",
    "ctime": 0,
    "gender": {},
    "login_mode": "string",
    "multi_factor_auth": true,
    "nick_name": "string",
    "regtime": 0,
    "role": {},
    "status": {},
    "user_id": "string"
  },
  "code": 0,
  "more": {},
  "msg": "string"
}

👉演示效果

kso_token鉴权方式

💡 提示

365api内部网关支持通过kso_token方式直接调用，kso_token可以通过proxy网关将前端的cookie转为kso_token

// 调用云文档获取用户信息
func (u *UserInfoService) GetUserInfo(token string) (*interApiModal.UserInfo, error) {
    host := config.GlobalConfig.ECIS_HOST
    url := host + "/v7/sessions/current?with_detail=true"
    header := map[string]string{
        "X-Kso-Token": token,
    }

    res, err := util.Get(url, header)
    if err != nil {
        log.Info("获取用户信息网络请求错误:", errors.Any("err", err))
        return nil, err
    }

    if res != nil && res.Body != nil {
        defer res.Body.Close()
    }

    var respBody []byte

    if res.StatusCode != 200 {
        if res.Body != nil {
            respBody, _ =https://v7.wpseco.cn/c/manage/docs#/appDocs/wps365.open.docs/%E6%9C%8D%E5%8A%A1%E7%AB%AF/%E8%AE%A4%E8%AF%81%E4%B8%8E%E6%8E%88%E6%9D%83/%E8%8E%B7%E5%8F%96%E8%AE%BF%E9%97%AE%E5%87%AD%E8%AF%81/%E8%8E%B7%E5%8F%96%E8%87%AA%E5%BB%BA%E5%BA%94%E7%94%A8%E7%9A%84%E7%A7%9F%E6%88%B7access_tokehttps://v7.wpseco.cn/c/manage/docs#/appDocs/wps365.open.docs/%E6%9C%8D%E5%8A%A1%E7%AB%AF/%E8%AE%A4%E8%AF%81%E4%B8%8E%E6%8E%88%E6%9D%83/%E8%8E%B7%E5%8F%96%E8%AE%BF%E9%97%AE%E5%87%AD%E8%AF%81/%E8%8E%B7%E5%8F%96%E8%87%AA%E5%BB%BA%E5%BA%94%E7%94%A8%E7%9A%84%E7%A7%9F%E6%88%B7access_tokenio.ReadAll(res.Body)
            log.Info("状态码错误:", errors.Any("err", string(respBody)))
        }
        return nil, fmt.Errorf("获取用户信息网络请求失败")
    }

    respBody, err = io.ReadAll(res.Body)

    if err != nil {
        log.Info("获取用户信息读取流错误:", errors.Any("err", err))
        return nil, err
    }
    v7UserInfo := &V7UserInfoRes{}
    err = json.Unmarshal(respBody, v7UserInfo)
    if err != nil {
        log.Info("获取用户信息转json错误:", errors.Any("err", err))
        return nil, err
    }

    if v7UserInfo.Code != 0 {
        log.Info("获取用户信息错误:", errors.Any("err", v7UserInfo.Data))
        return nil, fmt.Errorf("获取用户信息失败")
    }

    return &v7UserInfo.Data, nil
}

access_token鉴权方式

// 获取acc_token
wps365Token, err := auth.NewWps365AuthTokenCache().GetAccessToken(config.GlobalConfig.AK, config.GlobalConfig.SK, companyId)
if err != nil {
    log.Info("获取wps365Token失败", errors.String("error", err.Error()))
    return nil, err
}

// 获取KSO-1签名
ksoSignService, _ := auth.NewKsoSign(config.GlobalConfig.AK, config.GlobalConfig.SK)
ksoSign, err := ksoSignService.KSO1Sign(request, jsonData)
if err != nil {
    log.Info("获取KSO-1签名失败", errors.String("error", err.Error()))
    return nil, err
}

识别双因子认证

multi_factor_auth

根据multi_factor_auth字段来判断双因子认证

• multi_factor_auth为null，则说明未开启双因子认证
• multi_factor_auth为true，则说明开启双因子认证且用户已经双因子认证通过
• multi_factor_auth为false，则说明开启双因子认证且用户未通过双因子认证