首页>> 政策法规 >> 法律法规 >> 文章列表
“赣服通”政务服务平台技术规范
发布时间:2019-11-20 16:15:57  来源:

目 录

1   名称解释. 4

2   接入概述. 4

2.1   统一接入总体规划. 4

2.2   接入原则及要求. 7

3   接入流程. 8

3.1   流程总览. 8

3.2   接入申请. 10

3.2.1  步骤说明. 10

3.2.2  申请准备. 10

3.2.3  提交方式. 10

3.2.4  账号分配. 10

3.3   接口统一管理. 11

3.3.1  流程图. 11

3.3.2  应用注册. 11

3.3.3  接口注册. 11

3.3.4  接口调用. 13

3.4   应用统一部署. 13

3.4.1  流程图. 14

3.4.2  应用开发. 14

3.4.3  应用自测. 15

3.4.4  应用提交. 15

3.4.5  应用审核. 15

3.4.6  应用上下架. 15

3.5   技术规. 16

3.5.1  HTTPS支持. 16

3.5.2  用户信息获取. 16

3.5.3  接口鉴权. 17

3.5.4  数据脱敏. 17

3.5.5  数据缓存. 18

3.5.6  命名规范要求. 18

3.5.7  底部统一标识. 19

3.5.8  兼容性规范. 19

3.5.9  图形验证码使用. 19

3.5.10  表单输入校验. 20

3.6   质量规范. 20

3.6.1  服务风格统一. 20

3.6.2  服务功能完善. 21

3.6.3  服务体验流畅. 22

3.6.4  服务性能稳定. 22

3.6.5  服务安全可靠. 23

3.7   运营规. 23

3.8   其他. 24

3.8.1  外部资源调用. 24

4   附件. 24


1  名称解释

PC端:通过网页浏览器进行展示的终端。

移动端:通过手机设备进行展示的终端,包括APP端和小程序。

2  接入概述

本标准规定了“赣服通”服务应用(包含PC端和移动端应用)的接入流程、对接模式、接入安全、数据规范和UI规范等。

“赣服通”服务应用接入的总原则是多端展现、接口统一。以便于统一数据、统一界面、统一监管、统一使用。

本标准适用于“赣服通”省级和市县分厅服务应用的建设

2.1            统一接入总体规划

“赣服通”服务应用接入系统架构图如图1所示:

1 “赣服通”服务应用接入系统架构图

“赣服通”各系统部署及数据流向如图2所示:

2 “赣服通”系统部署和数据流向图

其中:

1.“赣服通”运营数据统计平台主要通过业务埋点实现对接入服务的PVUV、服务点击量、业务办理量等关键数据进行实时统计;

2.“赣服通”微门户管理平台是对APP和小程序的页面样式、栏目结构、发布信息进行管理和变更控制;

3.“赣服通”应用开放平台是指提供丰富的开发组件,对应用的整个生命周期进行流程化管理,统一发布各个终端;

4.“赣服通”事项管理平台是指通过对接全省在线办事、在线预约等事项服务,自动化生成办事表单,动态管理前端事项展示;

5.“赣服通”应用接口入驻平台主要功能是全局监管 “赣服通”与数据统一交换平台交互的所有接口,实时监控接口运行状况,对出现异常的接口及时预警。

6.江西省电子政务共享数据统一交换平台负责与省统一建设系统、厅局各自建业务系统进行对接,提供标准的接入规范和输出规范。

2.2            接入原则及要求

“赣服通”服务应用(包含PC端应用和移动端应用)接入,应遵循以下原则和要求:

1.统一标准流程

接入“赣服通”的服务应用应按照统一接入流程和步骤,规范服务应用的页面和交互功能,确保数据接口规范、界面交互体验与“赣服通”要求一致、用户认证统一。

2.统一接口规范

接入“赣服通”的服务应用应按照统一接口规范进行接口提交与审核,使用“赣服通”域名统一输出标准接口地址,进行应用开发。

3.统一界面风格

接入“赣服通”的服务应用,PC端应用需参照《“赣服通”PC端界面视觉要求》(见附件2)进行设计,移动端应用需参照“赣服通”移动端界面视觉要求》(见附件3)进行设计,实现界面风格统一。

4.统一部署运维

接入“赣服通”的服务应用,需统一部署在省级政务云平台,由“赣服通”统一网络配置,实现统一展现、统一服务、统一运维、集中监测。

5.统一用户对接

应用对接分为有身份应用与无身份应用,无身份应用不涉及用户信息的对接开发,可忽略。

接入“赣服通”的服务应用,需统一接入“赣服通”的统一用户中心,实现全省用户统一。

 

3   接入流程

3.1            流程总览

应用接入到“赣服通”总体分为三个步骤:接入申请、接口注册、应用上传,如图3所示:

 

3  应用接入步骤图

“赣服通”详细服务对接流程图如图4所示:

4 “赣服通”详细服务对接流程图

对接过程中各单位职责分工:

1.应用接入:省级或市、县分厅自行完成服务清单梳理,并实现与本级数据交换平台对接,由数据交换平台统一输出业务接口,省级单位对接省级数据交换平台,地市对接市级数据交换平台,对接标准请参照《江西省电子政务共享数据统一交换平台接口标准规范》(见附件二)。对接申请原则上区县先向所在地市申请,由地市汇总后向省级申请。

2.应用开发:各市、县分厅自行安排开发单位,按照对接标准完成服务开发工作。“赣服通”平台建设单位原则上只负责技术支持和平台使用指导工作,协助各单位完成对接工作。如过程中产生额外的开发工作,费用自行承担。

3.应用审核上架:各市、县分厅开发完成后,自行完成打包提交工作,“赣服通”平台测试和运营人员将会统一进行上下架审核。

3.2          接入申请

3.2.1    步骤说明

接入单位在对接应用前,需要向“赣服通”项目组提交接入申请,“赣服通”项目组对申请统一受理并回复结果。

3.2.2    申请准备

接入单位需自行梳理业务服务场景,根据梳理情况填写《“赣服通”应用接入申请表》(见附件1,并加盖单位公章。

3.2.3    提交方式

接入单位以邮件形式将应用接入申请表发送至“赣服通”项目组邮箱:zwfwmtgl@jiangxi.gov.cn,“赣服通”项目组在接收到申请后,将在24小时内完成审核工作,并以邮件形式回复审核结果。

3.2.4    账号分配

赣服通”项目组在审核通过后,将给接入单位分配应用接口入驻平台账号和应用开放平台账号,并将平台地址、账号密码、接入指南以及相关帮助文档一并在邮件中回复给接入单位。

 

3.3          接口统一管理

3.3.1    接口管理流程

    应用服务接口将进行统一管理,接口管理流程图如图5所示。

5 接口管理流程图

3.3.2    应用注册

接入单位使用分配的账号登录“赣服通”应用接口入驻平台注册应用。注册应用时需创建应用唯一标识,详见3.5.6章节。

3.3.3    接口注册

接入单位需要将开发应用所需接口注册至“赣服通”应用接口入驻平台中,注册参数包括接口地址、请求方式,以及相关请求参数与返回结果示例,具体如图6所示。

6 接入单位注册接口参数

注意:

1、各地相关单位要对接口自行进行封装,注册到接口管理系统请求方式支持getpostwebservice方式,参数支持stringinteger类型。

2、接口需要满足高并发的要求,并发数应达到1000+,响应时长不超过2s

3、接口需要满足安全性的要求,涉及敏感信息应进行加密或脱敏处理。脱敏规则详见3.5.4章节。

4、应用开发需使用接口平台返回的接口地址和key码,在应用审核的时候,会进行匹配审核。

3.3.4    接口调用

成功注册的接口,会经过“赣服通”应用接口入驻平台进行域名转换,生成统一的“赣服通”域名的接口地址:https://ganfutong.jiangxi.gov.cn/link.do。开发者可自行测试、用于开发对接。

3.4          应用统一部署

 

3.4.1     应用部署流程图

3.4.2    应用开发

应用开发也就是应用对外服务的前端开发。开发单位需对服务的使用场景进行设计,PC端页面设计请参照《“赣服通”PC界面视觉要求》(见附件2),移动端页面设计请参照《赣服通”移动端界面视觉要求》(见附件3)。

开发应用过程中,部分应用是涉及到用户对接的,在应用开发过程中请参考《赣服通”应用开发用户对接指南》(见附件4)。

部分移动端应用开发过程涉及到手机设备对接开发,在应用开发过程中请参考《赣服通”移动应用JS-API接入指南》(见附件5)。

PC端应用和移动端应用均采用H5语言开发的方式,开发过程中的接口必须来源于应用接口入驻平台。在审核过程中会对接口来源进行审核。

3.4.3    应用自测

应用开发工作完成后,接入单位需对照《赣服通”应用审核规范》(见附件6)进行应用功能测试。pc端应用应使用带有调试模式的浏览器(谷歌浏览器)进行应用功能测试、移动端应用应使用“调试助手”进行应用功能测试。

3.4.4    应用提交

应用代码需封装成压缩包(.zip),压缩包命名规则按照3.5.6章节执行。使用分配的“赣服通”应用开放平台账号登录平台,将应用压缩包和审核规范表(两者缺一不可)按流程提交至后台即可。

3.4.5    应用审核

使用调试工具进行应用测试,依照《“赣服通”应用审核规范》(见附件6,严格把关质量,对不符合要求的应用进行沟通处理,审核通过后方可上架提供服务。

3.4.6    应用上下架

应用上、下线管理包含政务服务应用兼容性、可用性、安全性及压力测试,审核通过后上线到相应接入单位的政务服务站点,并对上线的政务服务应用进行统一监控,上线的应用未经省政务服务办审核,原则上不得随意下架。对政务服务应用不稳定、安全风险大、并发性能差的应用,项目组将通知整改,服务提供单位应在最短时间内完成整改,并恢复服务。

3.5        技术规范

3.5.1    HTTPS支持

为防范用户信息泄密,接入单位在开发应用服务时需保证页面加载的所有资源协议支持HTTPS访问协议。

3.5.2    用户信息获取

应为用户交互进行更加严格的安全改造,不支持以https方式请求token的通道,只保留webservice请求通道。各接入单位如需获取用户信息,需通过业务后台与统一用户中心进行交互。标准交互流程图如图7所示:

7用户信息交互流程图

3.5.3    接口鉴权

各单位提供的应用是用于进行互联网交互的应用,需进行接口访问安全性设计,建议使用两种鉴权模式:

安全鉴权:请求签名机制,签名算法采用SM2,双方以安全方式存储通讯密钥。

白名单鉴权:接口白名单,接口的开放针对“赣服通”加入白名单。

3.5.4    数据脱敏

接入单位应根据实际业务情况,对输出的数据进行脱敏处理后向用户展示,脱敏范围应不少于50%,常见用户隐私信息脱敏规则如下。

  • 中文姓名脱敏 李** 保留第一位,后面以*替换;

  • 公民身份号码脱敏 *************5762 保留后4位;

  • 固定电话脱敏 ****1234 保留后4位;

  • 手机号码脱敏 1******34 保留第一位,后面保留2位;

  • 地址脱敏 北京市海淀区**** 保留前6位;

  • 电子邮箱脱敏 g**@163.com ***@后面的部分;

  • 银行卡号脱敏 622260**********1234 保留前6位后4位;

  • 公司开户银行联号脱敏 12******** 保留前2位;

  • 时间类的处理,建议脱敏规则为:入参yyyymmdd(没有下划线,中划线)****1234 保留后4位,可根据不同业务需求场景自行判断是否脱敏。

3.5.5    数据缓存

为保障应用的并发能力和承载政务服务网高访问量,要求应用的server端接口都加上接口缓存。缓存数据仍然要求通过脱敏(同3.5.4)处理。

3.5.6    命名规范要求

应用中文名称命名规则:

应用中文名称应简单明了,说明应用用途,建议长度不超过8个字,便于理解和记忆。

省级部门应用标识命名规则

应用标识 = [部门简称汉语拼音首字母]+ [应用名称汉语拼音首字母]

举例:

[人社厅]“职业资格证书查询”,命名为“rstzyzgzscx”。

地方应用命名规则

应用名称 = [地区名称汉语拼音首字母]+[应用名称汉语拼音首字母]

举例:

[南昌市]“中考查询”,命名为“ncszkcx”。

命名重复排除规则

应用名称 = 应用名称+[提报时间戳](具体到分钟)

地方如“[南昌市]个税计算器”,命名为“ncsgsjsq,如果出现一个应用名称为“[南昌市]个税计时器”,命名为“ncsgsjsq201809060800,如果还有出现一个应用如“[南昌市]个税计数器”,命名为“ncsgsjsq201809061800”。

3.5.7    底部统一标识

移动端服务应用的所有页面底部都需注明“本服务由某某单位提供”该标语,具体样式要求见移动端UI规范。建议将该部分独立成公共模块,在每个页面引入方便后期维护。

3.5.8    兼容性规范

移动端应用对系统支持要求,推荐兼容iOS 9+Android 4.0+系统,确保开发的应用可适配大部分主流尺寸的屏幕,给予用户良好的体验。

3.5.9    图形验证码使用 

为了阻止攻击者使用自动工具和程序连续恶意提交表单尝试登录、查询等行为,接入服务应用涉及到表单提交时,建议加入验证码,尤其不要求用户登录的服务应用必须在提交表单时加入图形验证码,以降低被暴力查询获取大批量接入单位业务数据的可能。若验证码影响用户体验,接入单位可以自行决定多少次提交表单后再显示验证码。对于图形验证码的技术要求建议如下:

验证码在设计上必须要考虑到相关安全因素,以免能被轻易地破解,常见的方式是增加背景干扰元素;验证码在一次使用后要求立即失效,新的请求需要重新生成验证码,防止验证码多次有效。

3.5.10         表单输入校验 

接入单位开发服务应用时必须对用户产生的输入内容进行校验,不能完全依赖于客户端校验,必须使用服务端代码对输入数据进行最终校验。客户端的校验只能作为辅助手段,减少客户端和服务端的信息交互次数。一旦发现数据不合法,应该告知用户输入非法并且建议用户纠正输入。一方面是为了提升用户体验,另一方面是为了防止攻击者通过输入进行SQL注入、XSS攻击等恶意行为。

3.6          质量规范

为保障“赣服通”平台不断接入更加优质的服务,保证线上服务视觉统一,运行稳定,需制定“赣服通”服务接入质量规范。主要从界面样式、服务功能、用户体验、稳定性、安全性等方面对应用进行细化要求。

3.6.1    服务风格统一

要求所有接入应用在页面设计上参照“赣服通”UI设计规范,保持整体风格统一。

  • 文字大小统一

例如标题文字大小,摘要文字大小,时间、来源文字大小,辅助性说明文字,查询类功能下方是否有说明文字,文字的首行缩进一致等。

  • 图片尺寸统一

例如图片是否有变形的情况,图片是否高清,图片尺寸是否符合UI规范。

  • 按钮规格统一

例如按钮尺寸是否符合UI规范,同等规格的按钮是否全应用统一。

  • 表单样式统一

例如表单高度、长度是否符合UI规范,表单边框颜色是否符合规范且全应用一致,表单缺省引导文字是否清晰明了,全应用一致,如果是密码输入是否脱敏成“*”。

  • 加载效果统一

例如页面的加载是否有进度加载交互效果,加载效果是否全应用一致。

  • 底部落款统一

例如上方显示“赣服通”一网通办,下方显示业务单位。

3.6.2   服务功能完善

要求所有接入应用需保证功能完善可用,业务流程简洁好用,满足便民化的服务需求。

  • 业务流程简化

    在保障业务流程走通的前提下,要对整个服务流程进行简化。

  • 用户统一对接

    需要使用用户信息的服务,要求和同一用户中心进行对接,避免出现二次登陆情况。

  • 控件使用正确

    要求应用开发中正确使用功能控件,如下拉控件、文本输入控件、日期控件、加载控件、按钮控件等,确保每个控件功能使用正常。

  • 数据展示无误

    涉及请求服务的应用,要求业务数据返回正确,展示完整。

3.6.3   服务体验流畅

要求所有接入应用在用户体验上确保流畅,保证用户的第一印象,要可用,更要好用。

  • 考虑设备兼容

    兼容iOS和安卓系统,适配不同屏幕尺寸的手机。

  • 避免空白页面

    避免服务使用过程中出现白屏效果,做到无错链死链。

  • 异常提示友好

    针对网络异常、服务异常、数据返回异常等异常数据返回时,要做到提示友好,用户可接受。

3.6.4   服务性能稳定

要求所有接入应用要持续关注服务运行情况,保障线上服务性能稳定。

  • 接口响应快

    页面请求时间原则上要求不超过5秒,正常要求接口3秒内响应,必要时需要对数据进行缓存处理。

  • 抗压抗并发

    要求应用服务接口需承载3000以上并发能力,能承载日均20000以上的接口访问量。

  • 故障解决预案

    应用接入单位要求故障解决预案,能及时反馈并快速处理线上问题。

3.6.5   服务安全可靠

要求所有接入应用服务经过安全测试,保证服务数据传输过程安全可靠。

  • 重要数据加密

    数据传输过程要求对重要数据进行加密处理,如个人信息、帐号数据、关键值信息等。

  • 隐私数据脱敏

    页面显示个人基本信息时,要对身份证、姓名、手机号、银行帐号等信息进行规范脱敏。

  • 采用安全协议

    建议接入应用根据条件采用https安全访问协议,对原有http协议进行安全升级。

3.7          运营规范

为努力提升“赣服通”知晓度和使用率,打造江西移动政务服务品牌,不断增强群众的获得感和幸福感,各地、各部门应切实做好线上与线下宣传推广。为保障在各应用接入后的宣传推广工作的有序开展,各地方、各部门要求参照《“赣服通”服务应用宣传推广规范》(见附件7)落实推广工作。

3.8          其他

3.8.1    外部资源调用

禁止应用前端直接调用外部服务资源,包括但不限于应用提供单位开放的外网应用系统数据接口,降低应用提供单位原始接口暴露的风险,同时要求保障接口调用和数据传输的安全。除特殊情况下,不建议应用服务直接调用外部服务。

对于应用服务页面内容引用的静态资源(JS文件、CSS文件、图片等),建议这部分资源尽量随应用服务部署在政务服务网公有云平台上,不使用外链资源,防止因外链资源失效导致影响应用服务使用的情况发生。个别必须使用外链的第三方服务资源,可按实际情况引用。