身份认证与访问控制

身份认证

用户访问会议服务的方式有多种，包括会议服务portal、会议APP、会议SDK、API、硬终端，无论访问方式封装成何种形式，其本质都是通过会议服务提供的REST风格的API接口进行请求。

会议服务提供基于注册用户或企业开户用户的口令认证或短信认证方式，也支持基于会议鉴权信息的认证方式（临时匿名入会）。其中匿名入会认证鉴权通常用于会议链接需要公开给第三方访问的场景，这个时候的匿名入会用户不一定是会议服务注册用户，用户点击入会链接时基于会议凭证鉴权入会，常用于会议内容本身对与会者范围要求不高的会议。除此之外，会议或消息请求都仅对认证通过的注册用户或企业开户用户开放。会议服务用户身份认证方式有多种：

• 基于用户自主手机号码注册会议服务后，通过手机验证码或者账号密码方式鉴权认证。
• 基于企业开户邀请方式注册到会议服务后，通过手机验证码或账号密码方式鉴权认证。
• 基于微信授权或者企业SSO注册到会议服务后，通过code免登授权认证。
• 基于开发性API或SDK集成时申请会议服务应用ID签名注册到会议服务后，通过应用ID/应用secret携带特定信息计算签名进行认证。

访问控制

会议服务设计身份访问控制时，从横向越权、纵向越权不同角度进行接口访问控制，避免越权操作：

1. 从账号角度，会议服务提供给用户侧不同身份账号维度管理访问，包括
   • SP账号（维度企业群管理）
   • 企业账号（维度企业内用户、组织、业务管理）
   • 个人用户账号（维度个人信息管理和会议管理）
2. 从SP维度角度，会议服务提供不同SP账号管理本SP下的企业，企业数据逻辑隔离，SP账号只能管理自己范围的企业数据，API调用时不能访问其他SP的企业数据。
3. 从企业维度角度，会议服务提供不同企业管理员账号管理本企业数据隔离，企业用户组织会议数据逻辑隔离，企业管理员账号只能管理本企业用户组织会议数据，API调用时不能访问其他企业用户组织会议数据。
4. 从企业用户身份权限角度，会议服务提供企业直属管理员、普通管理员、普通用户角色设置，不同角色身份控制不同API接口范围访问。