third集成方案改造

集成

背景：
云助手平台为各应用(审批，报表，计划等)提供集成服务，如集成到企业微信，钉钉，蓝凌，泛微，以及其他自研APP。每一种集成都会对应一种集成方案。其中有一种方案集成方式非常便捷，但是有严重的安全漏洞。
此方案的原理是直接将用户身份(一般是user_code)以明文方式拼接在url中。用户可访问该URL没有任何安全校验的方式直接查看该用户的应用信息。

问题风险：
此漏洞会导致只要知道用户的user_code(这个是容易猜到的，一般是姓名拼音，比如meiy02),就能畅通无阻访问该用户的业务数据。

方案措施：
1.我们将提供AES的加密接口和秘钥提供给二开和客户的开发。
2.二开同事需要开发，对现在链接里面用户明文的uesercode进行加密。
3.历史已经发送出去的待办消息类的数据，当前有几个方案：
①之前二开的uesercode本身就是转码的方式存在的，就不用处理历史数据。
②联系客户开发，删除系统中近段时间的历史数据，然后二开重新推送。（该方案可能会导致用户在某个时间接收到很多消息）
③联系客户开发，针对明源仅几个月的消息进行刷数据。将历史数据中链接中明文数据刷成密文的。

为了使此方案集成更加安全，特此对此方案进行优化
原始链接为：
https://www.fdccloud.com/workflow-micro/my123456788/workflow/process-list/index?__from=third&erpusercode=zhangsan&kindType=5
账号使用了明文传输，容易被破解，特此进行优化，需要对账号进行AES加密，请点击加密方式获取加密结果，AES加密后的结果需要进行url转码,AES加密需要双方协调好秘钥，秘钥可以联系云助手负责人 喻丁索取

优化后的结果为
https://www.fdccloud.com/workflow-micro/my123456788/workflow/process-list/index?__from=third&erpusercode=8y7PvKEb%2FYvy6kPzmAU3Aw%3D%3D&kindType=5

云助手这边会提供技术支持，后续我们团队会针对有影响的租户出具一个更加详细和正式的邮件通知。您可以先了解下这个问题，后面会有一个专项群来解决这个问题。