互联网开放平台方案白皮书目录1概述 (4)1.1背景 (4)1.2开放平台 (5)2产品简介 (6)2.1产品目标 (6)2.2典型应用场景 (7)2.3服务开放流程 (8)3体系架构 (10)3.1设计原则 (10)3.2产品架构 (11)4功能介绍 (12)4.1开发者门户 (12)4.2服务网关 (13)4.3管理监控平台 (15)4.4服务治理 (16)4.5授权服务OA UTH2.0 (17)4.6安全管理 (18)5运行环境 (20)1概述1.1背景近几年,随着互联网技术更加成熟,互联网生态环境也朝着“开放、共赢”的方向不断发展。
越来越多的互联网企业将自身领域的优势服务封装成一系列数据接口(Open API)开放,供外部开发者(ISV)使用,并逐渐建设起拥有自身品牌特色,提供基于标准的服务的应用商店生态管理的统一平台——开放平台。
基于开放平台的统一标准体系,外部开发者可通过获得平台有关资源、信息、数据、安全等方面的专业化支持,开发自己的应用。
随着开放环境的不断成熟,外部开发者可借助开放服务提供商的能力,实现自身应用价值。
同时,也会有越来越多的外部开发者开发出基于开放服务提供商自身业务生态的衍生产品,为开放服务提供商本身的客户提供更好的服务。
开放平台旨在为开放服务提供商和外部开发者提供一个规范、合作、创新、实现各自价值的开放社区平台。
移动互联网时代,越来越多的企业选择以开放、合作的方式,与合作伙伴一起为用户提供多元化的创新服务:●国内外的互联网企业越来越多的通过与跨行业的合作伙伴,包括银行、酒店、旅游公司、市政部门、医院、学校等合作,提供更多的服务内容,聚集更多客户。
业务规模正在经历爆发式增长,已渗透到生活的方方面面。
●很多国内外的传统企业也在秉持着开放、共赢的态度,寻求与互联网企业的合作,实现传统业务转型并发掘新的利润增长点。
●开放、合作、共荣已经成为在移动互联网时代实现业务创新的新趋势。
1.2开放平台1.2.1开放平台的概念1.2.2开放平台的盈利模式开放平台模式成功的要点在于,通过自身服务和第三方应用的互利互惠,提高用户对平台网站的粘性和使用程度,进而提高获利,同时,通过利益分摊,达到平台自身和第三方应用循环刺激而产生的滚雪球式的增长。
1.2.3开放平台的目标愿景通过能力的开放吸引合作伙伴入驻,开发创新的应用;以丰富的新应用吸引最终消费者的使用;不断增加的合作伙伴和消费者形成正反馈,持续挖掘潜在业务价值,壮大产业链,形成开放共赢的生态圈。
2产品简介2.1产品目标神州信息互联网开放平台是神州信息自主研发的解决传统企业往互联网转型的一个开放平台产品,其通过构建服务开放平台,提供服务API批发中心,支持访问控制机制,聚合互联网能力,全面开放企业自身的业务能力。
构建围绕企业的开放生态环境,提升服务水平和盈利能力。
开放平台应该具备以下服务能力:2.2典型应用场景2.3服务开放流程2.3.1开发者接入及应用发布业务流程●对企业/个人开发者进行身份及信息审核后,才可成为开放平台开发者。
●成为开发者后,可以在开放平台门户中以创建应用的形式接入WEB/APP应用,开放平台下发AppID和AppSecret给开发者,做为应用的唯一标识。
●应用完成创建后,即可申请调用开放平台上公布的各种API。
根据API分级情况,决定不同的审核流程。
●API申请通过后,开发者可先在门户调试页面进行API调用调试。
在开发过程中,可调用开放平台沙箱环境进行生产流程模拟。
(测试环境对API调用有限制)●ISV认为应用具备上线资格后,可提出应用上线申请。
●开放平台根据应用审核标准,对ISV应用进行审核后,批准应用上线。
●应用批准上线后,即可拥有调用生产API权限。
调用次数和授权用户数均会根据平台规则有所提升。
●优质应用会在开放平台应用广场中作为标杆进行展示,提供应用介绍、下载、访问入口。
2.3.2应用开发流程●首先需要在开放平台注册应用,获取应用的唯一标识Appkey 、Appsecret;●Appkey 、Appsecret是用户调用服务oauth授权重要凭证,开发过程中可调用平台提供的api沙箱地址进行测试;●应用开发测试完成后,上线到开放平台;2.3.3应用调用服务oauth认证流程●根据Appkey 、appsecret、回调地址等信息访问授权URL;●根据以上URL,弹出登录页面,提示输入用户名密码进入授权页面;●用户确认授权后,返回code并跳转回调地址;●根据返回的code,appkey,appsecret换取access_token;●授权通过,调用服务。
2.3.4服务接入流程●接入系统提出接入申请;●运维审批通过后,要求接入系统提供接入地址等信息;●运维接收到接入信息后,登陆后台运维系统配置接入系统信息及安全控制等配置;●接入完成后,公开的服务将在API中心发布,供开发者开发调用。
3体系架构3.1设计原则1.开放平台服务网关及相关服务必须保证高性能、高可用性以及线性扩展能力,保证对外提供优异的服务质量。
网关须具有授权机制、流量监控及控制能力,日志分析能力,保障业务持续性、稳定性。
2.开发者门户基于B/S架构设计,具备良好的交互体验,为开发者提供自服务平台。
3.开放平台对外链路交互基于HTTPS协议,保证链路安全可靠性。
采用Restfull设计原则进行API设计。
4.开放平台需要提供统一的管理监控机制,保障平台安全可靠运行。
5. 开放平台底层架构支持云架构的灵活可扩展性。
3.2 产品架构开放平台采用模块化、组件化设计思路,逻辑上划分为外部应用接入层、开放平台核心应用层和服务对接层。
外围应用接入层,主要为ISV 和成员机构提供应用接入,最终为用户提供服务。
开放平台核心层,主要分为面向开发者的开发者门户,面向平台运营支撑人员的管理监控平台,和面向接入应用的授权服务集群、服务接入集群。
开放服务对接层,主要对接需要从开放平台进行开放服务的公司内部应用系统。
开发者门户合作机构应用三方应用身份核查违章查询公积金查询……合作机构服务接入网关运营人员防火墙/负载均衡授权和控制服务开发者管理监控用户管理应用审核服务管理门户管理用户统一监控用户注册在线文档应用申请应用商店服务管理开放平台HTTPS REST服务路由协议转换日志记录授权服务流量控制OAuth 授权令牌管理用户认证对接令牌验证缓存服务消息服务存储服务数据库服务沙箱环境开发社区异常告警应用版本管理自动部署弹性伸缩容器隔离服务接入. . . . . .应用云托管环境基础服务PAAS 平台服务治理4功能介绍4.1开发者门户开发者门户(Developer)是应用开发者使用开放平台的入口。
应用开发者在开发者门户注册应用,使用开放平台提供的SDK和服务,进行应用开发和线下测试。
测试完成后,通过开发者门户将应用部署到开放平台的沙箱测试环境,进行在线测试,然后就可以将应用部署到开放平台的正式生产环境中,利用开放平台对应用进行管理及监控。
开发者门户功能点包括文档及SDK下载、用户注册及登录、应用管理、服务管理、版本管理、应用配置、状态监控、日志管理等功能。
功能清单如下:4.2服务网关服务网关主要负责接入企业内部和第三方的服务提供商,进行服务的发布。
其功能主要包括:协议适配、服务路由、流量控制、日志管理、访问授权等功能,详细功能清单参见如下:管理和监控平台是面向开放平台的运维人员的,为用户提供应用和服务的管理和监控。
详细功能如下:4.4服务治理服务治理平台,是基于元数据的服务定义、描述、映射、检索治理系统。
服务治理是以提升组织业务能力为导向的工具,它在从业务问题出发,解决问题的过程当中,抽象一系列的业务服务。
这些业务服务可以灵活地组装,动态地解决变化的业务需求。
从而实现业务敏捷性,达到随需应变的目标。
服务治理就是一种对所有现有以及将来新增服务所进行的整理、归纳、定义、组装的方法,并在开发、运行的规范上进行正向引导的一种组织行为。
4.5授权服务OAuth2.0该系统主要用于授予外部应用获取用户隐私信息或调用公开服务访问凭证的功能。
同时对授权流程凭证进行生命周期管理并提供相关服务供开放平台服务网关调用。
授权服务系统基于行业主流OAuth 2.0授权认证标准流程,建立开放平台授权验证体系,保证用户或平台资源在安全、合理的对外进行开放。
OAuth 2.0标准提供了由第三方应用发起,并由资源提供方对资源所有者进行身份验证并获得资源所有者授权后,获得受保护资源的标准流程。
标准流程如下:(A)用户打开客户端以后,客户端要求用户给予授权。
(B)用户同意给予客户端授权。
(C)客户端使用上一步获得的授权,向认证服务器申请令牌。
(D)认证服务器对客户端进行认证以后,确认无误,同意发放令牌。
(E)客户端使用令牌,向资源服务器申请获取资源。
(F)资源服务器确认令牌无误,同意向客户端开放资源。
授权服务系统提供基于OAuth 2.0标准流程的服务访问授权和服务调用授权验证控制的功能,并基于缓存系统建立访问令牌生命周期管理功能。
4.6安全管理开放平台提供一套完整的安全管理机制,主要功能包括以下:5运行环境目前已经在以下应用环境下测试通过:✧服务器操作系统:CentOS6.5,RHEL6.5✧数据库服务器:Oracle 11g及以上版本、MySQL5.5;✧客户端:Chrome,IE 7.0及更高版本。