主用例说明：登录与认证

背景概述

PowerX 核心平台需要为企业提供统一、安全、可观察的登录与认证体验。随着多租户、多插件协作、第三方系统接入增多，平台必须兼容企业自有 SSO、对外 API 调用、敏感操作多因子认证与异常登录防护。本主用例聚焦“登录与认证”全链路，覆盖终端用户、系统集成、管理员安全策略与风控响应四大场景，确保身份可信、访问受控、风险可控。

目标与价值

• 统一入口：支持企业 SSO/IdP 登录，降低用户记忆成本与多账号管理负担。
• 安全合规：提供多因子认证、异常检测等安全控制，满足内控及监管要求。
• 开放接入：为第三方系统提供标准化 Token 认证与权限隔离能力。
• 可观察性：登录全链路具备审计、监控与告警能力，便于排障与合规追踪。

参与角色

• 企业终端用户：通过 SSO 访问 PowerX 统一门户并使用授权插件。
• 企业 SSO/IdP：提供 OIDC/SAML 等统一身份认证服务，与 PowerX 建立信任关系。
• 第三方集成系统：使用 API Token 调用 PowerX 平台能力。
• 企业安全管理员：配置 MFA、风险策略、登录审计与告警阈值。
• 安全监控/风控服务：分析登录行为、识别异常并触发响应流程。
• 系统自动化任务：负责 Token 生命周期管理、会话强制下线等自动控制。

主场景 User Story

作为 企业安全管理员，我希望 平台提供统一登录入口、API 认证、MFA 与异常登录响应机制，从而 在保障用户体验的同时防止未授权访问并满足审计要求。

子场景详解

子场景 A：用户通过公司 SSO 登录统一门户

• 角色与触发：终端用户访问 PowerX 门户，企业要求统一使用内部 SSO。
• 主要流程：
  1. 用户访问 https://portal.powerx.com，被重定向至企业 SSO 登录页。
  2. 用户在 SSO 输入凭据或使用无感登录，通过后携带授权码返回 PowerX。
  3. PowerX 后端根据授权码向 IdP 交换 Access Token/ID Token，校验签名与租户绑定关系。
  4. 系统生成本地会话，加载用户可访问的插件与资源门户。
• 成功标准：用户在 3 秒内完成跳转并进入门户；门户展示与角色匹配的插件入口；审计日志记录登录来源与设备信息。
• 异常与风控：Token 校验失败、租户状态冻结或用户被禁用需拒绝登录并提示支持渠道；连续失败 5 次触发安全告警。
• 指标建议：登录成功率、平均认证耗时、失败原因分布、SSO 跳转错误率。

子场景 B：第三方服务通过 Token 调用 API

• 角色与触发：合作系统需通过 API 访问 PowerX 数据或触发自动化任务。
• 主要流程：
  1. 企业安全管理员在“集成管理”中创建客户端凭据，限制租户、作用域与 IP 白名单。
  2. 第三方服务使用 Client Credentials/OAuth2 获取访问 Token。
  3. 服务调用 PowerX API 时在 Header 中携带 Bearer Token。
  4. PowerX 网关校验 Token 有效性、作用域与速率限制，并将请求转发至目标服务。
• 成功标准：受信任的请求获得 2xx 响应；调用日志记录客户端 ID、租户、范围；速率限制命中率在可控范围内。
• 异常与风控：Token 过期、作用域不足或 IP 不在白名单时拒绝访问并返回标准错误码；异常调用触发阈值后自动吊销 Token。
• 指标建议：有效调用量、失败率、Token 续签成功率、异常吊销次数。

子场景 C：管理员启用 MFA 保护敏感插件

• 角色与触发：企业要求访问财务/安全类插件时必须开启 MFA。
• 主要流程：
  1. 安全管理员在“安全策略”中为敏感插件启用 MFA，选择验证方式（OTP、短信、硬件 Key 等）。
  2. 用户首次访问敏感插件时，系统提示绑定 MFA 设备并完成校验。
  3. 之后每次访问敏感操作时触发二次验证，验证通过后才允许继续。
  4. 验证记录写入安全日志，可供审计查询。
• 成功标准：MFA 绑定与验证流程在 1 分钟内完成；成功验证后允许访问；日志记录完整。
• 异常与风控：连续验证失败触发锁定策略；设备丢失支持管理员人工重置并留痕；备用验证渠道需开启审批。
• 指标建议：MFA 绑定率、验证成功率、失败锁定次数、人工重置单量。

子场景 D：异常登录检测与强制登出

• 角色与触发：安全监控服务发现异常登录行为，需要立即处置。
• 主要流程：
  1. 风控引擎实时分析登录日志，识别异常（如异地秒登、暴力破解、黑名单 IP）。
  2. 一旦命中策略，系统向安全管理员推送告警并标记会话为高风险。
  3. PowerX 自动调用会话管理服务强制登出相关会话，必要时冻结账号。
  4. 生成事件报告并要求管理员复盘，若属误报可解除限制并调整策略。
• 成功标准：异常会话在 1 分钟内被终止；告警包含风险指标与定位信息；处置过程留存审计链路。
• 异常与风控：误判需支持快速回滚；策略配置错误导致大面积登出时触发紧急开关；与 SIEM、SOAR 集成以便联动处理。
• 指标建议：异常检测准确率、平均处置时间、误报率、自动冻结次数。

功能边界 & 非目标场景

• 不涉及插件内部的细粒度业务授权，详见“用户与角色管理”主用例。
• 不覆盖终端设备管理（MDM）或零信任网络访问策略。
• 不处理计费相关的访问控制或 License 校验。

依赖与接口

• 企业 IdP/SSO 服务：提供 OIDC/SAML 协议登录、Token 交换与断言。
• API 网关与认证服务：负责 Access Token 管理、速率限制与作用域校验。
• 安全策略与 MFA 服务：提供多因子验证能力、设备管理与策略配置。
• 风控/监控平台：消费登录日志、输出风险评分与告警。
• 通知服务：向管理员或用户发送 MFA 提示、异常告警与会话通知。
• 审计日志服务：记录认证过程、策略变更与风险事件。

验收要点

1. 支持与企业 SSO 集成的授权码流程，确保租户隔离与 Token 验签安全。
2. API Token 支持作用域控制、可配置有效期与吊销机制，并提供调用审计。
3. MFA 策略可按租户/插件/操作粒度配置，支持多种验证方式与故障切换。
4. 异常登录检测在 1 分钟内响应，强制登出和冻结动作可审计、可回滚。

场景级测试用例示例

测试准备：搭建沙箱租户，配置企业测试 IdP、API 网关沙箱、MFA 服务（TOTP + SMS）、风险引擎模拟器。预置 1 名安全管理员、2 名普通用户、1 组第三方客户端凭据。

用例 A-1：SSO 登录成功（正向）

• 前置条件：IdP 信任关系已建立；用户 alice@corp.com 处于启用状态。
• 操作步骤：
  1. 在浏览器访问沙箱门户登录页。
  2. 完成 SSO 凭证输入并确认。
• 预期结果：
  • 浏览器被重定向回 PowerX 门户并显示欢迎页。
  • 页面顶部显示 Alice 用户名及可访问插件列表。
  • 审计日志存在登录记录，含设备、IP、租户信息。

用例 A-2：租户冻结阻断（逆向）

• 前置条件：将 sandbox-tenant 标记为已冻结；用户凭据仍有效。
• 操作步骤：
  1. 重复 A-1 登录步骤。
• 预期结果：
  • 门户提示“租户已冻结，请联系管理员”，不生成有效会话。
  • 审计日志记录被拒绝原因，安全管理员收到通知。

用例 B-1：API Token 调用成功（正向）

• 前置条件：客户端 crm-sync 已配置作用域 contacts:read，IP 白名单包含 10.0.0.5。
• 操作步骤：
  1. 使用 Client Credentials 获取 Access Token。
  2. 在 Postman 调用 GET /api/contacts 并携带 Token。
• 预期结果：
  • 响应返回 200，包含联系人数据。
  • API 网关日志显示调用来源 crm-sync，速率计数正常。
  • Token 有效期剩余时间在网关控制台可见。

用例 B-2：作用域不足拒绝（逆向）

• 前置条件：使用仅具备 contacts:read 的 Token 调用 POST /api/contacts。
• 操作步骤：
  1. 发起写操作请求。
• 预期结果：
  • 返回 403 insufficient_scope 错误。
  • 告警中心记录越权尝试，管理员可查看详情。

用例 C-1：MFA 验证通过（正向）

• 前置条件：安全管理员已对“财务总账”插件启用 TOTP MFA；用户 bob@corp.com 未绑定设备。
• 操作步骤：
  1. Bob 登录门户后访问“财务总账”。
  2. 根据提示使用 Authenticator 绑定并输入动态验证码。
• 预期结果：
  • 绑定成功并进入插件页面。
  • 安全日志记录绑定与验证时间戳。
  • 后续访问同一插件时要求再次输入验证码。

用例 C-2：MFA 连续失败锁定（逆向）

• 前置条件：锁定策略设置为 5 分钟内失败 3 次即锁定 10 分钟。
• 操作步骤：
  1. Bob 连续输入错误验证码 3 次。
• 预期结果：
  • 系统提示账号暂时锁定，并发送通知给 Bob 与安全管理员。
  • 在锁定期间访问敏感插件被拒绝。
  • 审计日志记录失败次数与锁定开始、结束时间。

用例 D-1：异常登录自动登出（正向）

• 前置条件：风险引擎配置规则“同账号 5 分钟内异地登录判定异常”。
• 操作步骤：
  1. Alice 先在北京节点登录成功。
  2. 5 分钟内模拟来自海外 IP 的登录尝试并成功。
• 预期结果：
  • 风险引擎生成高危告警，PowerX 强制登出两个会话并冻结账号 30 分钟。
  • 安全管理员收到告警邮件，可在控制台查看事件详情。
  • 审计日志包含会话 ID、IP、处置动作。

用例 D-2：异常策略误报回滚（逆向）

• 前置条件：风险规则过于严格导致大量告警；开启“快速回滚”功能。
• 操作步骤：
  1. 安全管理员在告警中心标记某事件为误报并触发回滚。
• 预期结果：
  • 被冻结账号立即恢复，历史会话不再强制下线。
  • 风控策略自动调整阈值或转入观察模式。
  • 审计日志记录误报原因、回滚操作与策略调整内容。