智能移动报账技术框架之第三方服务接入
“云大物移智”时代,移动应用已经渗透人们工作生活的各个方面,移动办公也成为了企业信息化系统建设的刚需和标配,例如常见的移动审批、移动商旅、移动票据智能采集、移动报账、移动资产盘点、移动BI等等。
移动办公在提升企业协作效率、降低沟通成本的同时,多个APP安装更新、多个移动业务入口也给员工带来操作不便利、繁琐的问题。因此,移动应用的整合与集成也成为了企业信息化建设的新诉求。
久其软件在为客户提供移动应用服务的过程中,积累了丰富的集成经验,总结了以下几类典型的集成场景及技术。
结合久其移动应用实践,我们将遇到的集成应用场景主要分为三类:社交APP集成、企业门户移动集成、简易移动应用集成。
1.社交APP集成场景:企业微信、钉钉、WeLink等办公、社交APP集成;
2.企业门户移动应用集成场景:专业门户厂商移动应用集成;
3.简易移动应用集成场景:企业级自研移动应用集成。
移动端第三方服务接入方式主流的集成方案有OAuth2、JWT、js-SDK、临时授权码(身份令牌)及用户信息加密等。
久其移动端集成方案设计开发遵循了OAuth、DES、SM4.0标准规范,技术选型结合客户技术规范和业界标准,依据集成方案的安全性、应用的活跃度支持了OAuth2、js-SDK、临时授权码、用户信息加密,并设计开发了统一的可扩展的集成框架,支持各种个性化集成方案。
1.社交APP集成策略
在与企业微信、钉钉、WeLink等互联网应用APP集成中,一般采用标准OAuth2模式。主要交互流程如下图所示:
访问移动端首页、审批列表及单据审批详情时,通过服务端返回OAuth2认证地址主动发起认证。
通过客户端、应用服务端及授权服务间交互最终得到用户信息。
双重校验保证接入应用的有效性:授权服务在接收到OAuth2认证时会对数据来源,链接中AppId及跳转的地址进行有效性校验,这是第一重校验;当应用服务端获取到授权码,根据授权获取用户信息时,授权服务会对授权码及用户接口权限进行有效性校验,这是第二重校验。
2.企业门户移动应用集成策略
在与企业门户移动应用APP集成时,一般采用临时授权码(身份令牌)模式,主要交互流程如下图所示:
访问移动端首页、审批列表及单据审批详情时,第三方应用客户端将临时授权码追加到链接地址中,通过服务端获取用户信息。
应用服务通过在服务端携带Token、AppId及AppSecrect获取用户信息,并且临时授权有且仅有一次有效,保证了接入应用的有效性。
3.简易移动应用集成策略
在与一些企业内部自研的移动应用APP集成时,采用用户信息加密的简易方式,主要交互流程如下图所示:
通过对用户信息解密,并对信息的有效性进行验证,例如约定为参数中带有时间标识,在服务端对其进行校验,保证了链接即使被盗用也不能访问到系统。
小结
综合上述三类应用场景,在移动应用接入第三方服务技术中,每种集成对接方式各有优劣及适合的场景,而且还依赖于第三方应用客户端及服务支持的方式:
1.OAuth2模式适合于对集成安全性要求较高的系统,认证过程相对复杂,多重校验保证接入服务的合法性;
2.授权码模式适合于安全性要求适中,认证过程简单;
3.用户信息加密及有效性校验模式适合于安全性要求较弱或第三方应用服务端跟企业应用服务不在同一网段的情况。
久其在大量项目实践中,结合客户技术规范和业界标准,形成了灵活、安全的集成方案,提供统一、可扩展的集成框架。可根据应用场景、生态,采用灵活的集成策略,内置集成适配插件,按需进行打包发布,根据客户现有的技术规范个性化集成开发并快速交付使用。
