产品需求文档框架生成器

功能名：跨境电商标准化订单结算流程（Web）

需求描述：为跨境电商网站提供统一、合规、高性能的订单结算流程，覆盖购物车到下单的全链路，包括地址与物流选择、优惠券与积分、发票与税费展示、支付通道选择与失败重试、下单后消息通知与后台订单同步；同时支持移动端网页、货到付款、预售定金、数字与实物商品混合结算与履约，强化风控拦截与对账准确性。目标是缩短下单时间、降低放弃率并提升支付成功率。

概述：

• 背景：跨境电商面向多市场、多支付方式、多税制，现有结算流程分散、配置不可追踪、失败重试体验弱，影响转化与支付成功。
• 目标：
  • 结算转化率提升≥12%
  • 支付成功率≥97%
  • 平均结算时长≤60秒
  • 订单差错率≤0.2%
  • 退款处理时效中位数≤48小时
  • 拒付率≤0.3%
  • 结算相关客服工单量环比下降≥20%
• 适用角色与价值：
  • 买家（访客/会员）：快速、透明、安全完成付款；减少表单与重复输入；清晰价格与税费明细。
  • 商家运营：灵活配置促销、运费与渠道策略；可审计与回溯变更。
  • 财务与风控：准确对账、完整订单与支付日志；高风险订单拦截与拒付降低。
  • 客服：统一视图快速定位订单状态、异常原因与处理建议。
• 约束与依赖：
  • 技术：多支付网关（银行卡、本地电子钱包），税费计算服务、物流查询与地址校验API；结算页TTI≤2.5s。
  • 合规：地区支付与税务规则；展示总价与税费明细；展示与链接退款政策。
  • 上线：先灰度10%流量，三周内全量；兼容旧订单系统并保持数据一致性。
  • 依赖：风控评分服务、票据与会计系统、消息通知与模板配置。

相关页面设计：

1. 购物车页（Cart）
   • 关键元素：商品列表（含SKU、属性、库存态）、价格小计、配送国家/地区选择、预计税费与运费提示、优惠券输入入口、结算按钮（固定吸底）。
   • 交互：
     • 编辑数量/删除；实时刷新价格与库存校验。
     • 变更配送地区→触发运费与税费预估刷新。
     • 优惠券初筛（格式与有效期）并反馈提示。
   • 异常提示：库存不足、配送不可达、下架、最低订单金额限制。
2. 结算页（Checkout）
   • 布局：两栏（移动端纵向）→左侧表单区、右侧订单摘要（吸顶/吸底）。
   • 模块：
     • 登录/访客流程：邮箱/手机号，验证码登录或直接访客下单（同一邮箱提示帐号关联）。
     • 收货地址：地区选择（含州/省/邮编），地址自动补全与格式化，收件人、电话；地址校验API；支持保存地址（会员）。
     • 物流方式：基于SKU与地址计算可选方案（标准/加急/自提/免邮阈值），展示时效与费用。
     • 发票与税务：是否开票、发票类型（个人/企业）、税号/VAT/TIN、抬头与邮箱；实时税费明细展示与总价更新。
     • 优惠与积分：输入优惠码、选择平台券/店铺券；积分抵扣（可用上限、换算比例、是否与券叠加）；显示优惠明细。
     • 支付方式：银行卡（支持3DS/SCA）、本地钱包、货到付款、预售定金；支持分区显示与推荐支付；失败重试入口。
     • 商品与价格摘要：单价、数量、小计、运费、税费、优惠、订单总额（含币种与汇率提示）。
     • 合规与政策：退款/退货政策、隐私与条款链接、税费说明。
     • 下单按钮：默认禁用，必填项完成与风控预检通过后可点击，显示预计完成时间。
   • 可用性：自动填充、字段校验、错误就近提示、加载骨架屏、移动端数字键盘。
3. 支付页/支付弹层（按网关形式）
   • 展示：订单号、应付金额、币种、网关选择或单一网关表单；3DS/SCA交互；跳转钱包授权。
   • 重试区：失败原因文案、推荐替代通道、返回结算修改信息的入口。
   • 倒计时：支付时效（如15分钟），过期自动取消或回到结算。
4. 订单确认页（Thank You）
   • 展示：订单号、支付状态（成功/待确认/失败）、金额与税费明细、发票与下载入口（如已生成）、预售说明（尾款时间窗）、COD提示（到货支付与联系方式），物流预计时效与后续通知方式。
   • 引导：创建账户（访客）、继续购物、查看订单。
5. 异常与拦截页
   • 风控复核：提示“订单正在审核，预计x分钟内更新”，提供取消与联系客服入口。
   • 支付失败：原因可视化码（可复制）与建议操作。
6. 后台管理（商家/财务/客服）
   • 配置中心：支付通道优先级/可见性、运费模板、税费策略接入参数、优惠与积分规则、预售规则、COD可用范围。
   • 审计日志：配置变更人、时间、前后值、影响范围。
   • 订单中心：订单/支付/退款状态流转、风控评分与命中特征、对账文件下载、差错处理、重试触发、部分发货与分单。
   • 客服工作台：按邮箱/电话/订单号检索；状态时间线（创建→风控→支付→履约→售后）、异常原因与解决建议模板、重发通知、补发发票。

用户旅程：

• 访客买家（实物+数字混合）：
  1. 购物车核对→选择目的地→进入结算
  2. 访客填写邮箱/手机号→地址自动补全→物流方式→发票勾选→输入优惠券/选择积分→确认价格→选择支付方式（默认推荐）
  3. 下单→跳转网关→3DS验证→支付成功→返回确认页→接收邮件/短信→数字商品立即可下载，实物待发货
• 会员买家（预售定金）：
  1. 购物车→系统识别预售商品→结算页显示“定金+尾款规则”
  2. 选择支付方式支付定金→订单状态为“已付定金/待尾款”，通知订阅
  3. 尾款期前提醒→进入订单页/结算补尾款→支付完成→进入履约
• 买家（货到付款）：
  1. 结算选择COD→地址与电话二次校验→下单成功（待发货/到付）
  2. 物流更新→投递时收款→系统标记支付完成
• 商家运营：
  1. 在后台配置新促销/运费模板→灰度发布10%→观察转化/客单/支付成功率→全量或回滚
• 财务与风控：
  1. 查看当日订单支付漏斗与对账差异→处理失败重试率异常→调整通道优先级或风险阈值
• 客服：
  1. 接到支付失败工单→在工作台查看订单时间线与错误码→指导买家更换通道或修正地址税号→一键重发支付链接

用户故事：

• 作为访客，我希望无需注册即可下单并保存邮箱获取通知，使我能快速完成购买。
• 作为买家，我希望在结算时自动校验地址与邮编并给出建议，减少投递失败。
• 作为买家，我需要清晰看到小计、运费、税费、优惠与总价，避免价格不透明导致放弃。
• 作为买家，我希望失败时可一键更换支付方式并保留订单信息，避免重填表单。
• 作为会员，我希望使用积分与优惠券叠加（若规则允许），并实时看到抵扣金额。
• 作为预售买家，我希望定金支付后按时收到尾款提醒和一键补尾款入口。
• 作为选择货到付款的买家，我希望系统确认到付资格并在投递时完成付款。
• 作为运营，我希望可配置不同市场的运费模板、支付通道可见性与优先级，并能回溯每次变更。
• 作为财务，我需要完整支付日志、对账报表与差错定位能力，确保订单与资金一致。
• 作为风控，我需要对高风险订单进行拦截或人工复核，并拥有拒付防控策略。
• 作为客服，我需要查看订单状态时间线与异常原因，快速给出解决方案并重发通知。

实现逻辑：

1. 结算会话建立
   • 输入：购物车ID、用户身份（访客/会员）、国家/地区与币种、设备/语言。
   • 处理：生成Checkout Session（含幂等键）；预估运费/税费；拉取可用支付方式与推荐顺序；风控预检（设备、邮箱、IP、历史）。
   • 输出：结算页数据快照与有效期。
2. 地址与物流
   • 地址校验API：格式标准化、邮编纠正、不可达判断；失败给出建议并阻止下一步。
   • 物流计算：根据SKU维度（重量、体积、禁运）与地址返回可选方案、时效与费用；缓存相同区域规则。
3. 定价与优惠引擎
   • 定价顺序：基价→商家优惠→平台券→积分抵扣→运费→税费。
   • 规则引擎：校验券有效性、叠加规则、门槛、黑白名单；积分折抵上限与舍入。
   • 实时回写摘要并记录明细项（用于审计与账单）。
4. 发票与税费
   • 税务服务：按目的地税制计算增值税/进口税；支持含税/未税价格策略；数字/实物不同税类。
   • 发票：下单时采集抬头与税号；支付成功后触发开票任务并回填发票链接。
5. 支付编排与重试
   • 通道选择：根据国家/币种/金额/风控评分/历史成功率排序推荐。
   • 网关创建支付意图：金额、币种、订单号、回调URL、过期时间；支持3DS/SCA参数。
   • 失败重试策略：同通道二次重试（小概率错误）→备选通道切换；保留订单与表单数据；展示可理解错误文案与建议。
   • 货到付款：下单即创建应收记录，履约签收时登记支付完成。
   • 预售定金：创建两段支付意图（定金、尾款）；设置尾款支付窗口与提醒计划；超时自动取消。
6. 风控拦截
   • 下单与支付前评分（设备指纹、邮箱年龄、地址匹配、BIN国家、历史纠纷）。
   • 策略：放行/拒绝/人工复核（挂起）；复核通过后继续支付或履约。
7. 订单创建与同步
   • 订单在支付前以“待支付”创建，锁定库存（含过期释放）；支付成功更新为“已支付”，触发履约。
   • 与旧订单系统双写：新系统主存，旧系统镜像；失败回退与补偿队列；一致性校验任务。
8. 消息通知
   • 触发点：下单成功、支付成功/失败、风控挂起/通过、发货、预售尾款提醒、COD派送提醒、发票可下载。
   • 渠道：邮件、短信、可选WhatsApp/站内信；多语言模板配置与A/B测试。
9. 对账与日志
   • 支付回调与对账：按日拉取网关对账单比对订单；差异自动生成工单。
   • 审计：配置变更、价格计算明细、风控命中记录、用户关键动作（脱敏）。
10. 灰度与监控
    • 灰度开关按流量/地区/用户组；指标看板：TTI、转化、支付成功率、失败码排行。
    • 告警：TTI>2.5s、支付成功率<97%、拒付率>0.3%、对账差异>阈值。

功能细节描述：

• 输入：
  • 前端：购物车ID、收货地址、收件人信息、发票信息、优惠码、积分使用、支付方式、设备与语言、同意政策勾选。
  • 服务：税费计算请求（SKU、价格、地址、税制参数）、物流报价请求（SKU、重量体积、地址）、风控评分请求（用户/设备/支付信息）、支付网关意图创建与回调。
• 输出：
  • 结算页数据：可选物流与费用、税费明细、优惠抵扣、应付总额、支付方式列表与推荐。
  • 订单对象：订单号、用户ID/访客标识、明细项（含税类与折扣）、运费、税费、总额、币种、配送方式、发票信息、状态流转日志、风控结果、支付记录、履约信息。
  • 通知：多语言模板变量（订单号、金额、税费、物流、尾款时间窗、发票链接、客服入口）。
• 状态与边界条件：
  • 订单状态：待支付/已支付/已付定金/待尾款/支付失败/风控审核中/取消/部分发货/已发货/已完成/部分退款/已退款/拒付。
  • 支付状态：待支付/支付中/成功/失败/过期；COD为“待收款/已收款/收款失败”。
  • 库存：待支付锁定15分钟（可配置），过期释放；预售不占现货库存。
  • 数字+实物混合：数字不需要物流，履约可拆单；税类按行项目计算；退款支持按行项目。
  • 优惠与积分：不可使应付金额为负；叠加规则可配置且写入审计；使用后撤销逻辑（订单取消→返还积分/恢复优惠额度）。
  • 发票：仅对已支付金额开票；定金与尾款分别开票或合并开票（可配置）。
  • 地址与配送限制：禁运品拦截、邮编黑名单、超大件限制。
  • 支付合规：展示最终含税总价；SCA/3DS按地区强制；不在页面存储完整卡号；展示退款政策与处理时效。
  • FX与舍入：按币种最小货币单位四舍五入；展示汇率来源与时间（简要）。
  • 性能：结算页TTI≤2.5s；关键接口P95≤500ms（税费、物流、风控各自）；失败降级策略（使用上次缓存或提示稍后重试）。
  • 幂等与重试：以幂等键防重复下单；支付回调去重；网络重试退避。
  • 兼容旧系统：双写失败进入补偿队列；读以新系统为主，异常回退旧系统只读；一致性对账任务每5分钟巡检。
  • 安全与隐私：PII脱敏存储与展示；最小化收集；权限分级（客服只读敏感信息、财务可导出对账、运营可改配置）。
• 校验与错误码（示例）：
  • A100 地址不完整；A101 配送不可达；P200 支付被拒；P201 3DS失败；R300 风险过高被拒；C400 优惠码无效/过期；T500 税务服务超时。
  • 错误处理：就近提示+可操作建议；可复制错误码用于客服排查。
• 监控指标与埋点：
  • 页面：TTI、首字节、模块加载时长、表单错误率、放弃点（地址/支付）。
  • 接口：成功率、P95时延、重试率、降级触发次数。
  • 转化漏斗：加入结算→提交订单→支付发起→支付成功；按通道与地区分层。
• 上线策略：
  • 灰度10%→观察48小时→指标达标全量；支持地区/通道黑白名单快速回退。
  • 回滚方案：关闭新结算入口，切回旧系统；补偿任务清理半成品订单与锁定库存。
• 无障碍与合规展示：
  • 键盘可达、ARIA标签、颜色对比度符合标准；价格与税费明细清晰、退款政策与联系渠道可见。

功能名：[统一注册与登录体系（B2B SaaS）]

需求描述：[为平台提供统一、安全、可扩展的用户注册与登录能力，覆盖邮箱注册、受邀开通、SSO（SAML 2.0 / OIDC）、多因素认证（MFA）与密码找回，配套设备信任、异常登录识别与告警、角色与权限同步、会话管理与强制下线、登录后资料完善与权限申请。目标是在保证安全合规前提下，提升登录成功率、企业入驻效率与审计可视化能力。]

概述：[本功能适用于B2B多租户SaaS，核心用户为企业员工（一般用户）、租户管理员、安全审计人员与技术支持。业务目标：登录成功率≥99%；MFA启用率≥60%；找回密码时长≤3分钟；单租户新成员开通中位时长≤5分钟；登录相关支持工单环比下降≥25%；可疑登录拦截率≥90%。范围包含：注册与登录、SSO对接与策略、MFA、密码找回、信任设备与风险告警、角色/权限同步、会话管理、条款与隐私同意、登录后引导、审计与导出。依赖：外部IdP、邮件/短信服务、风险识别/设备指纹、网关统一会话策略、权限系统、消息模板、多语言与条款版本管理。上线策略：分阶段迁移老用户，支持可逆回退，季度内完成并通过安全评估。合规：支持地区数据驻留、审计留痕与导出、IP/地区访问控制、隐私与条款版本化同意记录。]

相关页面设计：

1. 租户发现与入口页（/signin）
   • 元素：邮箱输入框、登录方式切换（邮箱+密码/SSO）、“使用企业登录（SSO）”按钮、租户自动识别提示、错误反馈区、语言切换。
   • 逻辑：输入邮箱后端进行租户发现并返回默认登录方式；若多租户匹配，提供租户选择弹窗；若租户强制SSO，隐藏密码登录。
2. 登录页（邮箱+密码）
   • 元素：邮箱、密码、登录按钮、忘记密码、MFA自动跳转提示、验证码（仅在触发风控时）、信任设备勾选。
   • 状态：错误（账号不存在/未激活/密码错误/锁定）、风控提示（异常环境需图形验证码或MFA）。
3. SSO入口页（/sso/{tenant})
   • 元素：IdP列表（如有多个）、跳转按钮、失败fallback提示（联系管理员或使用备用账号）。
   • 状态：SAML/OIDC失败时提供错误码与重试、故障通告栏。
4. MFA设置/验证页
   • 元素：验证方式切换（TOTP、短信、邮件、WebAuthn可选）、TOTP二维码与密钥、短信/邮件验证码输入、可信设备勾选、备份代码生成与下载。
   • 流程：首登需绑定至少一种方式；验证通过后可记住设备N天。
5. 注册/受邀开通页
   • 元素：邮箱、验证码/邀请令牌、密码设置、姓名与部门、条款与隐私勾选、合规告知（数据驻留地区）。
   • 状态：邀请已过期/已使用、邮箱已存在、密码强度提示。
6. 密码找回页
   • 元素：邮箱输入、验证码输入、新密码设置、成功跳转、限流提示。
   • 状态：链接过期、过多尝试、风控拦截。
7. 登录后引导页（资料完善与权限申请）
   • 元素：资料卡（姓名、职位、手机、地区）、最小权限包推荐、申请额外权限入口、管理员审批状态提示。
8. 账户安全页（个人中心）
   • 元素：MFA管理（新增/移除/默认方式）、可信设备列表（设备名/指纹/最近使用/移除）、活跃会话（设备/IP/位置/登录时间/终止）、密码更新、登录通知开关。
9. 管理后台-身份与安全设置
   • 模块：SSO配置（SAML/OIDC元数据、证书、映射规则、JIT/SCIM开关、强制SSO开关）、密码策略（长度/复杂度/历史/过期）、MFA策略（必选/可选、允许方式、信任设备天数）、登录风险策略（IP/地理/设备指纹阈值、验证码/MFA触发）、会话策略（TTL、并发上限、闲置自动下线、全员强制下线）、邀请与批量导入（CSV/SCIM）、条款与隐私版本绑定。
10. 审计与告警页（安全审计）
    • 元素：事件筛选（时间、租户、用户、事件类型、风险级别）、地理/设备分布、异常趋势图、明细表、导出按钮、告警策略与接收人配置。
11. 支持工具页（技术支持）
    • 元素：账号定位（按邮箱/用户ID）、会话查看与终止、最近错误轨迹、IdP联调健康检查（时钟偏差/证书有效性/端点可达）、账号恢复向导。

用户旅程：

• 新员工受邀入驻
  1. 管理员在后台以邮箱发送邀请或通过SCIM同步创建用户。
  2. 用户打开邀请链接，校验令牌有效性。
  3. 设置密码（若租户未强制SSO）、同意条款与隐私、完成MFA绑定（若策略必选）。
  4. 首次登录完成资料，系统按映射授予基础角色；如需额外权限，提交申请。
• 企业员工SSO登录
  1. 员工访问平台输入邮箱或直接访问租户SSO入口。
  2. 跳转企业IdP认证成功返回；若首次登录触发JIT创建并同步角色。
  3. 若策略要求MFA且IdP未完成，平台侧补充MFA验证。
  4. 风险分析通过，建立会话并进入首页。
• 邮箱+密码+MFA登录
  1. 输入邮箱密码通过校验；若风险高或策略要求，进入MFA验证。
  2. 选择TOTP/短信/邮件/WebAuthn验证，勾选信任设备。
  3. 登录成功，建立会话。
• 密码找回
  1. 输入邮箱，收到重置链接（15分钟有效）。
  2. 设置新密码并触发全设备强制下线；登录通知发送。
• 异常登录与设备信任
  1. 风险引擎检测到非常用设备/地点，提升要求（验证码或MFA），并发送告警给用户与审计。
  2. 用户选择“信任此设备”后，设备指纹与有效期记录，降低后续干扰。
• 管理员配置SSO与策略
  1. 上传SAML元数据或配置OIDC参数，完成连通性测试。
  2. 设置属性映射（email/name/groups→roles），开启强制SSO与MFA策略。
  3. 发布后全员入口切换，保留应急本地管理员。
• 审计处理告警
  1. 审计在告警页查看高风险登录，核查IP/设备与历史。
  2. 一键强制下线并冻结账号，通知管理员与用户。
• 技术支持排障
  1. 通过支持工具查看用户最近错误、SSO断言、时钟偏差。
  2. 触发一次性恢复码，协助用户恢复访问。

用户故事：

• 一般用户
  • 作为员工，我希望使用企业SSO一键登录，这样无需记忆密码。验收：在租户强制SSO时，输入邮箱后直接跳转IdP并成功返回。
  • 作为员工，我希望在常用设备上少做MFA，但非常用设备必须验证。验收：可信设备在30天内免二次MFA，异常设备必需MFA。
  • 作为员工，我忘记密码时能3分钟内找回。验收：提交邮箱后3分钟内完成重置并能登录。
• 租户管理员
  • 作为管理员，我希望批量导入成员并自动分配角色。验收：CSV/SCIM导入后≤5分钟内用户可登录且具备基础角色。
  • 作为管理员，我希望强制全员MFA与SSO。验收：策略生效后，用户无法绕过，非合规方式受阻并提示。
  • 作为管理员，我需要一键强制全员下线以应对风险。验收：触发后1分钟内所有活跃会话失效。
• 安全审计
  • 作为审计，我需要查看最近30天登录风险分布并导出。验收：图表可筛选，导出CSV包含事件必备字段。
  • 作为审计，我希望接收高风险登录即时告警。验收：满足策略阈值时邮件/短信/应用内均在1分钟内送达。
• 技术支持
  • 作为技术支持，我需要快速定位某用户SSO失败原因。验收：支持工具显示最近断言错误码、时间、IdP端点与建议。
  • 作为技术支持，我希望在用户无法访问时签发一次性恢复码。验收：恢复码一次有效，15分钟过期，使用后强制MFA重绑。

实现逻辑：

• 租户发现与登录路由
  • 根据邮箱域名与租户配置匹配租户与默认登录方式；若强制SSO则隐藏密码登录；多租户匹配时用户选择租户。
• 邮箱注册与受邀开通
  • 邀请令牌含租户ID、邮箱、过期时间、一次性使用标记；注册完成后将令牌失效。无邀请时按租户策略决定是否开放自助注册。
• SSO（SAML 2.0 / OIDC）
  • SAML：配置ACS、EntityID、签名证书；校验断言签名、受众与时钟偏差（±3分钟）；从属性映射邮箱、姓名、组；支持JIT创建用户。
  • OIDC：配置Authorization/Token/UserInfo端点、ClientId/Secret、Scopes；校验ID Token签名与nonce；同样支持属性映射与JIT。
  • 组到角色映射：基于正则/枚举映射到平台角色；冲突采用“取最高权限规则可关”，默认最小权限。
  • 故障与回退：保留至少1个本地应急管理员；SSO失败时显示友好错误与支持指引。
• MFA
  • 支持TOTP、短信、邮件验证码与WebAuthn；租户可配置必选/可选与允许的方式；首次登录未绑定时进入绑定向导；提供10个一次性备份码。
• 风险识别与设备信任
  • 设备指纹由浏览器指纹+平台设备ID生成；风险维度含IP信誉、地理位置偏移、设备变更、失败次数；策略产出动作：验证码、MFA、拒绝；可信设备在策略定义时长内降低阈值。
• 会话管理
  • 采用与网关统一的会话令牌（访问令牌TTL 30分钟，刷新令牌TTL 14天，滑动刷新）；并发会话上限可配置；支持单点注销与全员强制下线；敏感操作要求二次验证。
• 密码找回与策略
  • 重置链接一次性、15分钟有效；重置成功后废止所有刷新令牌并要求下次登录MFA；密码策略（≥12位，含大小写与数字/特殊符号，禁止常见弱密码，历史5次不可复用）。
• 角色与权限同步
  • 来源：IdP组映射、SCIM用户/组同步、平台内授权；冲突按优先级：平台冻结>管理员显式授权>SCIM/IdP映射；登录后缺少权限时引导申请。
• 条款同意与资料完善
  • 登录后检查租户绑定的条款/隐私版本；若未同意，强制展示并记录版本、时间、IP、语言；资料字段按租户必填项校验。
• 审计与告警
  • 审计事件：登录成功/失败、MFA通过/失败、风险提升、设备信任、会话创建/终止、强制下线、配置变更；支持筛选与CSV导出；告警渠道：邮件/短信/应用内通知。
• 迁移与回退
  • 分租户灰度：先开放SSO与MFA策略给试点租户；老用户密码在首次登录时透明重算为新策略；支持切换回旧认证入口（限时），并保持数据一致性；提供迁移看板与指标监控。

功能细节描述：

• 数据模型（关键字段）
  • 用户：userId、tenantId、email（唯一+域名校验）、name、status（active/locked/invited）、source（local/SSO/SCIM）、mfaMethods[]、trustedDevices[]、lastLogin。
  • 会话：sessionId、userId、issuedAt、expiresAt、ip、userAgent、deviceId、refreshTokenId、isTrustedDevice。
  • 审计事件：eventId、tenantId、userId、type、riskLevel、ip、geo、deviceId、result、timestamp、metadata。
  • 邀请：inviteId、tenantId、email、rolePreset、expiresAt、status。
• 输入校验
  • 邮箱：RFC标准与域名白名单（可选）；密码：≥12位，至少3类字符；姓名：1-50字符；验证码：6位数字，5分钟有效；TOTP：基于RFC 6238，30秒步长，允许±1步偏移。
• 安全与限流
  • 登录失败阈值：5次/15分钟触发账户临时锁定10分钟；验证码发送限流：5次/小时/用户；重置链接试错限流：5次/小时/IP。
  • CSRF保护、同站点Cookie、敏感令牌仅HttpOnly；关键操作需要最近MFA（≤12小时）。
• 会话与设备
  • 访问令牌TTL：30分钟；刷新令牌TTL：14天；滑动刷新策略：每次续期不超90天上限（可配）。
  • 可信设备有效期：30天（可配），手动移除立即失效；并发会话默认上限：5。
• 风险策略阈值（默认）
  • 新设备或地理突变>500km：要求MFA；高风险IP（黑名单/代理）：拒绝或MFA+验证码；失败3次后要求图形验证码。
• SSO健壮性
  • 时钟偏差容忍：±180秒；SAML断言受众严格匹配；OIDC nonce校验必需；证书到期提前30天预警。
• 角色映射
  • IdP组名到平台角色映射规则支持前缀匹配与正则；未匹配时赋予最小权限“viewer”；管理员可定义覆盖规则。
• 通知与多语言
  • 模板：邀请、重置密码、登录成功、异常登录、MFA变更、强制下线；支持中英双语与占位符（{userName}、{tenant}、{time}、{ip}）；发送失败重试3次。
• 合规与数据驻留
  • 租户创建时选择数据驻留区域（例如CN/EU/US），用户隐私数据与审计日志同区域存储与处理；导出接口需鉴权与审计；数据保留期默认365天（可配）。
• 观测与指标
  • 记录：登录成功率、MFA启用率、找回密码时长P50/P95、新成员开通时长P50、拦截率、支持工单量；提供看板与告警阈值。
• 错误码与文案（示例）
  • AUTH-001 用户不存在；AUTH-002 密码错误；AUTH-003 账户锁定；SSO-101 断言无效；MFA-201 验证码错误/过期；RISK-301 高风险IP阻断；LINK-401 链接过期。
• 边界与异常处理
  • 账号冲突：SSO返回邮箱已存在但来源不同，提示账号关联流程，经MFA确认后合并来源并保留历史；邀请冲突：邮箱已有账号，邀请转为角色更新审批。
  • IdP故障：若租户强制SSO且IdP不可用，允许应急管理员本地登录，其余用户展示停机告示与联系指引。
  • 批量导入失败：逐行错误报告与可恢复重试，不影响已成功用户。