常熟理工學院基于OpenID 的校園混合云應用融合

文/朱峰 蔣玉峰 王加年 先曉兵

常熟理工學院

在當今移動互聯、大數據、物聯網、人工智能、云計算快速發展的大背景下，高校也受到極大的影響，大量的校外云應用進入校園，傳統集中式、封閉式的信息化平臺無法解決校內應用與云端的互聯網應用之間的統一身份認證問題，信息化部門技術人員疲于應付這些系統運行以及處理大量重復的技術含量低的事務性工作，越來越不能滿足和適應師生多樣化信息化需求。如何按照“放管服”、“去中心化”理念，建設一套松耦合的統一身份認證解決方案，融合校外的云端應用、校內的各類應用，采集更多維數據，豐富師生大數據維度，減少信息部門運維工作等是近幾年熱議話題，也是急需解決的問題。近年來，常熟理工學院在信息化建設中做了一些有益的探索和嘗試。

當前校園信息化應用中的一些問題

常熟理工學院在過去幾年信息化建設過程中，長期堅持以師生為本，服務師生、服務管理、服務決策的思路，采取購買專業系統和自主研發相結合的建設原則，在信息化建設與應用上取得了一些成效，一定程度上滿足了師生服務、校園管理、領導決策、教育教學、移動應用等方面的需求，在不斷推進過程中，特別是近幾年，出現了越來越多的新問題。

微信企業號應用中的問題

學校在2015 年開始使用微信企業號，注冊名為“掌上理工 ”，大大提升了學校移動互聯網應用水平，特別在資產盤點、實踐教學管理、移動學習、各類考勤等方面取得了很好的應用成效，大大降低管理成本，極大提升了校園管理效率。在微信企業號服務師生過程中，出現了一些問題：（1）每一屆畢業生離校，新生來校后去三家運營商申請手機號碼，不少新生使用的上屆畢業生的不用的手機號碼，由于使用了同一個電話號碼，導致登錄企業號時出現訪問信息混亂。（2）大學生換手機號碼頻繁，每次更換手機號碼后導致無法登錄微信企業號“掌上理工 ”，必須在管理的配合下重新注冊登錄微信企業號，給師生帶來了不少麻煩，同時也加大了該系統維護人員的工作量。（3）微信企業號在服務校園各類用戶（教師、學生、家長、校友、校園、合作企業等）時，都按照企業號這種嚴格規范的管理模式，不能很好滿足管理的靈活性、可擴展性等。

校園公眾號數量繁多，移動應用孤島增多

以常熟理工學院為主體的微信服務號數量眾多，各部門、二級學院在各自公眾號上建立的各類的信息應用，導致用戶在不同的公眾號上，使用不同的賬號密碼的進行登錄認證，統一身份認證問題在移動端、在微信端上又重新上演，出現了許多移動移動應用孤島，為用戶在移動互聯應用帶來不便。

校園移動支付混亂

當前校園實體卡已經無法滿足師生移動支付需求，由于學校沒有提供統一的移動支付手段，很多商戶私自張貼個人的微信、支付寶、銀行等非校方統一管理的支付碼，這種方式不僅擾亂了學校的正常財務管理與結算，帶來了管理上的混亂和競爭的無序，也增加了食品安全監管的風險，給學校的管理帶來諸多不便。學校領導、業務部門認為社會上早已實現移動支付，直接引入第三方支付很容易，認為信息化部門強調的困難是不存在的。同時財務部門堅持必須實現移動支付和校園實體卡支付的統一聚合，即要實現刷卡與掃碼在同一臺POS 機、使用同一套記賬系統，實現移動支付和校園實體卡的實名聚合支付。

傳統PC 信息門戶和移動端的統一身份認證問題

由于PC 門戶的身份認證平臺和移動端的身份認證平臺是在不同時間建設的，因而沒有構建統一的身份認證平臺，導致用戶在這兩個平臺進行登錄時，采用不同的賬號密碼，用戶體驗差，且安全性也較低。

校外應用不斷增多帶來的挑戰

伴隨著移動互聯應用的不斷深入，越來越多的校外應用如：移動支付（支付寶、微信支付、電子銀行、第三方支付）、移動學習、電子郵箱、應答機器人、問卷調查、云網盤等應用進入校園，極大方便了師生的應用需求，降低了學校的建設與運維成本。同時,也帶來了新的問題，如何把這些應用同校園內各類應用進行整合，減少用戶多個賬號密碼，信息化部門如何采集更多維度的校內外數據等問題也隨之而來。

相關思考

以上問題的出現，我們認為是在信息化建設前期時對統一身份認證平臺的設計不足，沒有考慮師生的互聯網社會屬性標簽，導致信息化平臺擴展性差，當大量校外互聯網應用進入校園時，傳統的和封閉的校園信息化平臺還是基于校園內用戶身份識別和管理，缺少一個開放的、去中心化、擴展性強的統一身份認證管理平臺。

微信公眾平臺是運營者通過公眾號為微信用戶提供資訊和服務的平臺。OpenID 是為了識別用戶，由微信公眾號提供，每個用戶針對每個公眾號會產生一個安全的OpenID，如果需要在多公眾號、移動應用之間做用戶共通，則需依賴微信開放平臺，將這些公眾號和應用綁定到一個開放平臺賬號下，綁定后，一個用戶雖然對多個公眾號和應用有多個不同的OpenID，但他對所有這些同一開放平臺賬號下的公眾號和應用，只有一個UnionID，可以在用戶管理中獲取用戶基本信息（UnionID機制）。從而打通各類應用平臺的身份統一問題。

為解決以上問題，我們思考構建基于OpenID（UnionID）和OAuth2.0 模式的開放認證平臺， Open ID 是一種廣泛應用于云計算中的去中心化的身份認證技術，OpenID 為用戶以一個身份在多個云服務應用中通行提供了一種方式。考慮到如何利用現有成熟平臺、開放性好、用戶基礎好等特性，我們確立了采用微信公眾平臺作為移動服務平臺，采用微信公眾號的OpenID 和基于OAuth2.0 的微信開放平臺來整合校內外的各類信息應用。在本方案中，校內用戶在云端獲取到用戶微信公眾平臺應用的OpenID，結合校內本地化的身份認證方案，構建用戶校內的編號（工號、學號）和該用戶在微信公眾號對應的OpenID 的對應關系對照表。各個子應用可以在企業號和服務號之間打通，不重復建立應用。

確立方案后，立足自主研發，實現了校園用戶微信公眾平臺OpenID 在校內的實名認證方法，研發了微信掃碼去中心化的身份認證方案，整合學校信息化應用服務平臺PC 端和移動端統一的認證入口。在此基礎之上建設了可擴展性較強的微信公眾平臺服務，前期推出微信企業號的“掌上理工”應用，后階段推出微信服務號的“理工微門戶”服務平臺、用戶密碼自助服務、基于微信掃碼的下一代信息門戶、移動實名聚合支付、校園應答機器人等應用，如圖1 所示。

圖1 基于微信OpenID 混合云校園融合應用

探索實踐

構建以微信公眾平臺為主的校園移動信息服務平臺

2018 年初，啟動微信公眾平臺作為面向學生為主的校園移動信息服務平臺，且要實現用戶從企業號向服務號的平滑遷移，降低師生的遷移難度。確立方案后，開始建設基于微信公眾號新平臺和微信開放平臺認證平臺，在此基礎上推出“理工微門戶”移動門戶平臺（如圖2 所示），確立了應用模塊上架方案設計，逐步實現多個應用的上架，如學生自助修改門戶密碼應用、校園卡余額查詢、校歷查詢、宿舍報修、宿舍管理、課表查詢、成績查詢等。同時實現了關鍵業務系統移動端的應用集成，如移動辦公系統、財務審批系統、事務服務大廳等。針對跨越多個服務號的應用，采用了UnionID 來進行身份識別應用來解決單點登錄，同時學校在“二維碼”方面進行了大量的實踐探索，構建了基于二維碼、移動終端和微信為基礎的低成本校園物聯網，實現了利用微信“掃一掃”功能完成學校考勤、值班巡檢、各類簽到、資產盤點、實踐教學管理等場景，基本接近零成本投入的方式解決了學校資產清查等難題，提高了學校行政管理效率。

圖2 “理工微門戶”部分應用截圖

其中，實踐教學管理系統實現了學生、教師只需簡單掃一下資產條形碼，即可實現實踐、實驗、實習等活動的數字化登記，后臺數據為學校相關部門和學院提供實驗室、儀器設備等的利用情況統計分析，在2018 年的測試使用中，各二級學院共有1487 門實驗課程，3266 個實驗項目、280 個實驗房間測試使用，統計187173 人時數，取得了一定的成效。2019 年全校開始使用該系統完成校內外實踐教學管理。

實現移動實名聚合支付

2017 年，學校實現了實體卡基礎上的虛擬卡支付，在一定程度上方便了師生的校園支付，但學校業務部門和師生希望直接使用微信支付碼實現實名支付，同時財務處也提出能實現微信的實名支付和聚合對賬功能，在廠商提供的前期實現方案中，通過測試我們發現導致大多數交易支付因延時太長而失敗，面對問題與挑戰，經過和校園卡公司商討后，重新改進了建設方案：由校園卡公司在校園卡系統中開放數據接口，由校方將包含校園卡用戶校內的編號（工號、學號）和該用戶在微信公眾號對應的OpenID 的關系對照表，定時同步到校園卡系統數據庫中，減少了身份認證中間環節，部門自主研發打通“理工微門戶”與校園支付的通道以及用戶的身份認定，將微信原生的二維碼與校園卡方案融合，實現了微信原生收付款二維碼在學校POS 機上實名消費功能，既提升了用戶校園支付體驗，也減少學生校園卡充值的手續，同時實現了財務處的聚合對賬要求，減輕工作人員的負擔。實現了校園卡平臺上的微信實名聚合支付，為師生創造了一個安全可靠便利的移動支付環境，拓寬了師生支付渠道的多樣性。

下一代信息門戶的構建與實踐

學校信息門戶于2010 年上線，為學校的信息化服務起到了積極作用，隨著信息化飛速發展，該門戶已無法滿足需求，影響了服務質量，本著為下一代新門戶建設積累一些經驗教訓的想法，我們決定探索和自主研發新一代學生信息服務門戶，采用微信服務號和微信開放認證平臺作為基礎，推出一套輕量級的學生信息服務門戶，完成教務系統、宿舍管理系統、事務服務大廳等多個系統的微信掃碼認證集成，實現了師生用微信“掃一掃”即可登錄信息門戶，2019 年1～6 月本服務網累計訪問62551 人次。

PC 端新信息門戶微信掃碼認證應用方案有效解決了學生忘記傳統PC 信息門戶密碼的問題，提升了信息門戶安全防護，同時緩解了傳統門戶并發性能不足的問題。經過實踐，本方案能夠支撐高校公選課時期的高并發應用場景，同時在此過程中，我們也學習和總結了基于實時在線（online）的下一代信息門戶建設和應用的一些經驗教訓，為未來的信息門戶建設積累經驗。

應答機器人和消息通訊平臺的建設與應用

在采用微信企業號和公眾號服務過程中，我們通過微信消息服務接口，采用OpenID 和工號對應表，構建了校園消息通訊平臺，將各種業務系統的消息、各業務部門的各類消息精準推送給群體和單個用戶，推送內容包括各個業務系統的自動提醒、業務部門的通知、代辦提醒、工資條、成績信息、生日祝福、各類事前提醒、問卷調查等，也包含應答機器人的消息推送，下面介紹機器人構建過程。

在利用微信企業號和服務號服務廣大師生的過程中，通過管理后臺日志，我們發現有學生提出各種各樣的問題，包括學校的各類咨詢和個人信息查詢。如何滿足師生的這一需求，在進行討論后，我們開始進行應答機器人實踐，在微信服務平臺提供機器人服務，在相關業務部門配合下，針對師生在校期間工作、學習、生活的各類問題進行梳理，采集輸入各類問答集和對話交流集，涉及教學、圖書、校園卡、管理與服務、校園網絡、校園生活等諸多方面，后臺采用百度UNIT 平臺作為機器人知識平臺，形成校本特色知識庫，將OpenID 作為個人身份的標識和識別，自主進行研發，經過一年多的探索嘗試，構建了“理工機器人”，能夠智能回答師生在校園學習、生活和工作中的各種問題，同時也能正確的提供諸如個人成績、課表、校園卡消費金額等多種個人信息問詢，成為師生貼心的校園小幫手，用智能客服代替傳統人工客服，大大提升服務質量和服務時長。在機器人回答問題的過程中，我們通過該渠道主動獲取了師生信息化的真實訴求，有針對的不斷改進和完善，形成一個和師生良性互動的信息平臺。

成效與體會

通過幾年的摸索，我們構建了基于O p e n I D 的統一身份認證管理平臺，改善了下一代信息門戶平臺的服務能力；完善智慧校園基礎環境，建設支持高密度、高并發的移動學習需求的校園無線網絡、移動支付環境、智慧學習空間、支持人臉識別的校園安全監控等；建設了基于微信服務號的移動信息門戶，能較靈活支持教師、學生、家長、校友、社會人員等多種用戶需求；主動引入各類校外云服務(移動支付、移動學習、應答機器人、人臉識別、校園郵箱、問卷調查等)，構建校園混合云應用；在使用混合云使用過程中，主動采集師生在云端的更多維數據，加強師生社會屬性數據的采集和治理。

隨著5G 時代的到來，AI、AR、VR、物聯網、大數據的發展更是讓我們應接不暇，如何構建邊界越來越模糊的云中高校是必須思考和努力的方向。