一、落地部署的项目登录,安全机制。最好提供cookies的说明
黄海回复:
局端:(由研修组负责主开发,完成后,由云平台负责抄到局端)
(1)在集成页面或者空间中,受ypt拦截保护,未登录的人员无法访问生成签名的接口,此处称为: /dsideal_yy/ypt/JuDuanTicketGenerate
(2)设置局+云的校验密码为pwd=”DsideaL963258147”
(3)计算局版服务器的Unix 时间戳,时间戳只允许在前10分钟与后10分钟之间,其它范围时间戳拒绝接收。
参考: https://www.cnblogs.com/zhujiabin/p/6168671.html?utm_source=itdadao&utm_medium=referral
(4)区域码,比如 阿里云:aly,开平:kaiping,这个唯一标识找吴缤获取完整列表。
(5)人员ID,身份ID,单位ID,单位名称等参数可扩展。(根据COOKIE等信息获取,不允许传入)
(6)基于RSA的公钥私钥加解办法:
https://www.cnblogs.com/littlehb/p/5938832.html
(7)POST参数:要求按按MAP保存,ascii升序排序后,JSON化,然后通过公钥生成一个密文,称为:JiaMiMessage&t=1535419062000,本质就是一个加密字符串,标识在集成页中,如果生成时间较长,未使用,应重复生成。t为JAVA生成的时间戳时间,用来判断是否已过期。
https://blog.csdn.net/badmoonc/article/details/82142100
服务网端:(由研修组负责开发)
(8)云端通过私钥验证通过后,可以写入session等信息,进入自己的流程,所需信息可以从POST的数据中解析出来。如无法解析,为非法传入。
二、Crm产品信息同步接口,研发可以获取到crm中所有的产品列表(目的:便于技术服务人员后期针对于获取到的产品列表进行用户手册等信息的维护)包括阿里云服务器及落地服务器,考虑到crm版本问题
黄海回复:CRM信息可以在转到服务网时,一并通过POST上传到服务网上,通过SESSION中人员信息和CRM在服务网端进行配对保存。CRM的信息可以通过云平台开发,找冯丽杰通过相应接口获取。
三、用户登录后,识别用户所在机构及当前机构在crm中对应的产品信息(目的:能够实现后期面向用户推送其所在机构已购买的产品服务信息如用户手册等)
黄海回复:同问题2,不再进行回复。