公司統(tǒng)一權(quán)限平臺(tái)系統(tǒng)版本同步適配器集成接口服務(wù)規(guī)范

公司統(tǒng)一權(quán)限平臺(tái)系統(tǒng)版本同步適配器集成接口服務(wù)規(guī)范P公司統(tǒng)一權(quán)限平臺(tái)系統(tǒng)版本同步適配器集成接口服務(wù)規(guī)范總則范圍為適應(yīng)XX公司進(jìn)一步對(duì)企業(yè)身份信息的集成和統(tǒng)一權(quán)限平臺(tái)的工作要求，鑒于XX公司需集成的業(yè)務(wù)應(yīng)用權(quán)限模型的多樣性，本規(guī)范（試行）僅適用于現(xiàn)階段指導(dǎo)統(tǒng)一權(quán)限平臺(tái)與業(yè)務(wù)應(yīng)用系統(tǒng)接口開(kāi)發(fā)、實(shí)施。后續(xù)將根據(jù)具體執(zhí)行情況對(duì)本規(guī)范進(jìn)行調(diào)整及補(bǔ)充。術(shù)語(yǔ)序號(hào)詞匯名稱詞匯定義1ISC_SSO統(tǒng)一認(rèn)證系統(tǒng)2ISC_SSO_AGENTISC-SSO統(tǒng)一認(rèn)證服務(wù)客戶端3數(shù)字證書(shū)在因特網(wǎng)上，用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。4X.509標(biāo)準(zhǔn)的加密數(shù)字證書(shū)格式5REST服務(wù)指的是一組架構(gòu)約束條件和原則：（1）客戶端和服務(wù)器之間的交互在請(qǐng)求之間是無(wú)狀態(tài)（2）在服務(wù)器端，應(yīng)用程序狀態(tài)和功能可以分為各種資源（3）使用的是標(biāo)準(zhǔn)的HTTP方法，比如GET、PUT、POST和DELETE表示對(duì)資源的操作。滿足這些約束條件和原則的應(yīng)用程序或設(shè)計(jì)就是RESTful，以RESTful方式提供的服務(wù)即為Rest服務(wù)。Rest服務(wù)是WebService的一種實(shí)現(xiàn)方式。6JSONJavaScriptObjectNotation，是一種輕量級(jí)的數(shù)據(jù)交換格式。它基于JavaScript（StandardECMA-2623rdEdition–December1999）的一個(gè)子集。JSON采用完全獨(dú)立于語(yǔ)言的文本格式，但是也使用了類似于C語(yǔ)言家族的習(xí)慣（包括C,C++,C#,Java,JavaScript,Perl,Python等）。7TGC(Ticket-GrantingCookie)存放用戶身份認(rèn)證憑證的cookie，這個(gè)Cookie是一個(gè)加密的Cookie，其中保存了用戶登錄的信息。用于以后其它應(yīng)用客戶端登錄8ST(ServiceTicket)服務(wù)的惟一標(biāo)識(shí)碼。由ISC-SSO服務(wù)端發(fā)出，通過(guò)客戶端瀏覽器到達(dá)業(yè)務(wù)服務(wù)器端。一個(gè)特定的服務(wù)只能有一個(gè)惟一的ST參考資料[1]《XX公司企業(yè)經(jīng)營(yíng)管理應(yīng)用典型設(shè)計(jì)系統(tǒng)集成框架設(shè)計(jì)報(bào)告》[2]《XX公司應(yīng)用集成平臺(tái)典型設(shè)計(jì)手冊(cè)》[3]《XX公司信息化“SG186”工程-應(yīng)用集成典型設(shè)計(jì)》[4]《XX公司信息化“SG186”工程-數(shù)據(jù)中心典型設(shè)計(jì)》[5]《XX公司信息化“SG186”工程-企業(yè)門戶典型設(shè)計(jì)》總體概述設(shè)計(jì)原則與方法本規(guī)范遵循以下原則制訂：易用性：系統(tǒng)接口邊界劃分清晰，功能界定明確。完整性：保證生產(chǎn)業(yè)務(wù)的連續(xù)和完整性。安全性：從信息安全性角度考慮，符合相關(guān)標(biāo)準(zhǔn)。適用性：按最大需求考慮，滿足不同管理層面的業(yè)務(wù)需求。可維護(hù)性：集成廠商所提供的數(shù)據(jù)同步接口是否可單獨(dú)維護(hù)，升級(jí)操作時(shí)不需要業(yè)務(wù)系統(tǒng)進(jìn)行服務(wù)重啟，避免一級(jí)檢修，提高問(wèn)題修復(fù)速度。統(tǒng)一權(quán)限模型設(shè)計(jì)概念模型統(tǒng)一權(quán)限平臺(tái)的系統(tǒng)模型主要包括：用戶、崗位、基準(zhǔn)組織單元、業(yè)務(wù)組織單元、業(yè)務(wù)角色、組織角色、菜單功能，數(shù)據(jù)資源，權(quán)限策略；其系統(tǒng)模型如下圖：圖1：概念模型視圖模型描述基準(zhǔn)組織與用戶從HR權(quán)威源來(lái)的國(guó)網(wǎng)的組織、用戶及崗位的數(shù)據(jù)，在統(tǒng)一權(quán)限分別稱為基準(zhǔn)組織單元、用戶、崗位三類對(duì)象，其詳細(xì)的描述如下：用戶參與到本企業(yè)運(yùn)營(yíng)的所有人員，并且一人一賬號(hào)。角色性質(zhì)的用戶（如：系統(tǒng)管理員）原則上不允許存在。其數(shù)據(jù)分兩部分：A：被人資系統(tǒng)管理的人員數(shù)據(jù)（全民、集體、農(nóng)電員工）B：非人資系統(tǒng)管理的人員數(shù)據(jù)（臨時(shí)員工、外來(lái)的臨時(shí)人員）崗位來(lái)源于HR權(quán)威源系統(tǒng)的行政崗位，統(tǒng)一權(quán)限系統(tǒng)可用于其作為角色的聚合，并分配給用戶?；鶞?zhǔn)組織單元基準(zhǔn)組織數(shù)據(jù)來(lái)源于HR權(quán)威源系統(tǒng)，主要由行政組織單元構(gòu)成的組織機(jī)構(gòu)樹(shù)，它是其它業(yè)務(wù)應(yīng)用業(yè)務(wù)組織單元形成的基礎(chǔ)，并作為統(tǒng)一權(quán)限系統(tǒng)進(jìn)行用戶維護(hù)的部門數(shù)據(jù)業(yè)務(wù)組織體系主要由業(yè)務(wù)組織分類、業(yè)務(wù)組織單元以及業(yè)務(wù)組織性質(zhì)等構(gòu)成，其詳細(xì)的描述如下：業(yè)務(wù)組織體系通常一個(gè)企業(yè)都會(huì)存在不同的業(yè)務(wù)模塊或業(yè)務(wù)模型，比如：黨務(wù)管理、工會(huì)管理、物資管理、生產(chǎn)管理，通常因?yàn)闃I(yè)務(wù)運(yùn)轉(zhuǎn)的需要業(yè)務(wù)模型會(huì)對(duì)應(yīng)一套或多套與基準(zhǔn)組織并不完全一致的組織體系。一套業(yè)務(wù)組織體系可以被多個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)共享。業(yè)務(wù)組織單元業(yè)務(wù)組織體系中的業(yè)務(wù)組織單元，它的作用如下:一：作為業(yè)務(wù)應(yīng)用中業(yè)務(wù)數(shù)據(jù)之一使用；二：在業(yè)務(wù)流程中可以以業(yè)務(wù)組織為基礎(chǔ)定義出集團(tuán)內(nèi)部相對(duì)通用的參與者。這二個(gè)作用依據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)的需要進(jìn)行取舍，比如：可以把業(yè)務(wù)組織只當(dāng)成業(yè)務(wù)數(shù)據(jù)之一來(lái)使用。業(yè)務(wù)組織單元性質(zhì)用于區(qū)分同一業(yè)務(wù)組織體系中不同組織單元的管理層次。如：?jiǎn)挝?、部門、班組等。角色體系主要包括業(yè)務(wù)角色、組織角色、角色分組，其詳細(xì)描述如下：業(yè)務(wù)角色指要完成該業(yè)務(wù)應(yīng)用的業(yè)務(wù)需要幾種角色來(lái)完成，業(yè)務(wù)角色屬于業(yè)務(wù)應(yīng)用，并可以設(shè)置業(yè)務(wù)角色上的功能權(quán)限和數(shù)據(jù)權(quán)限，且它與業(yè)務(wù)組織沒(méi)有關(guān)系。組織角色組織角色是具體關(guān)聯(lián)業(yè)務(wù)角色、業(yè)務(wù)組織單元和人的對(duì)象，它可以繼承并擴(kuò)展與之對(duì)應(yīng)的業(yè)務(wù)角色上的功能權(quán)限和數(shù)據(jù)權(quán)限，同時(shí)它也位于某個(gè)業(yè)務(wù)組織下，并且要在組織角色上分配人員。角色分組用于對(duì)業(yè)務(wù)角色的分類管理。業(yè)務(wù)應(yīng)用資源體系授權(quán)針對(duì)的對(duì)象或資源，主要包括菜單功能、數(shù)據(jù)資源、權(quán)限策略，其詳細(xì)描述如下：菜單功能業(yè)務(wù)應(yīng)用的功能資源，包括菜單、菜單下的功能及其他自定義功能資源。數(shù)據(jù)資源對(duì)業(yè)務(wù)應(yīng)用業(yè)務(wù)數(shù)據(jù)的抽象，用于數(shù)據(jù)權(quán)限策略規(guī)則的定義。權(quán)限策略用于描述一類用于數(shù)據(jù)資源權(quán)限控制的規(guī)則。授權(quán)描述統(tǒng)一權(quán)限平臺(tái)包含四方面：基準(zhǔn)組織與用戶、業(yè)務(wù)組織體系、角色體系、業(yè)務(wù)應(yīng)用系統(tǒng)功能體系。基準(zhǔn)組織與用戶主要包括：基準(zhǔn)組織與用戶的分配關(guān)系、用戶與企業(yè)角色的分配關(guān)系及企業(yè)角色和基準(zhǔn)組織之間關(guān)系；業(yè)務(wù)組織體系包含：組織體系和業(yè)務(wù)組織之間關(guān)系、業(yè)務(wù)組織和業(yè)務(wù)組織性質(zhì)之間關(guān)系；角色體系主要包括：業(yè)務(wù)角色與組織角色派生關(guān)系、組織角色和業(yè)務(wù)組織之間分配關(guān)系；業(yè)務(wù)應(yīng)用系統(tǒng)功能體系包含：業(yè)務(wù)應(yīng)用系統(tǒng)和功能之間關(guān)系、功能和權(quán)限對(duì)象之間關(guān)聯(lián)關(guān)系。授權(quán)管理按照業(yè)務(wù)系統(tǒng)分類管理，各自業(yè)務(wù)系統(tǒng)維護(hù)角色權(quán)限的指派。系統(tǒng)支持分級(jí)分層次授權(quán)的管理模式。總體集成關(guān)系統(tǒng)一權(quán)限平臺(tái)與業(yè)務(wù)應(yīng)用系統(tǒng)集成方式分兩種：數(shù)據(jù)同步集成方式和系統(tǒng)服務(wù)集成方式。對(duì)已建業(yè)務(wù)應(yīng)用系統(tǒng)采用數(shù)據(jù)同步的方式，對(duì)新建業(yè)務(wù)應(yīng)用系統(tǒng)采用系統(tǒng)服務(wù)集成方式。數(shù)據(jù)同步集成方式圖2：數(shù)據(jù)同步集成方式關(guān)系圖數(shù)據(jù)同步集成方式主要基于“業(yè)務(wù)應(yīng)用適配器”與業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)同步集成，數(shù)據(jù)的同步方向?yàn)閱蜗?，以統(tǒng)一權(quán)限平臺(tái)數(shù)據(jù)為數(shù)據(jù)源，對(duì)各集成業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)同步。工作分工如下：統(tǒng)一權(quán)限平臺(tái)項(xiàng)目組制定業(yè)務(wù)應(yīng)用適配器接口開(kāi)發(fā)規(guī)范；組織各業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)商制定數(shù)據(jù)集成實(shí)施方案；組織各業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)商完成系統(tǒng)集成及聯(lián)調(diào)測(cè)試。ESB總線服務(wù)項(xiàng)目組將業(yè)務(wù)應(yīng)用系統(tǒng)的適配器接口服務(wù)注冊(cè)到企業(yè)服務(wù)總線；配合完成數(shù)據(jù)同步集成的聯(lián)調(diào)測(cè)試。業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)商在統(tǒng)一權(quán)限平臺(tái)項(xiàng)目組指導(dǎo)下完成系統(tǒng)集成實(shí)施方案編制；開(kāi)發(fā)數(shù)據(jù)同步接口程序；完成數(shù)據(jù)同步集成及聯(lián)調(diào)測(cè)試。系統(tǒng)服務(wù)集成方式圖3：系統(tǒng)服務(wù)集成方式關(guān)系圖系統(tǒng)服務(wù)集成方式主要包括兩部分：一是為業(yè)務(wù)應(yīng)用系統(tǒng)提供身份、組織、權(quán)限數(shù)據(jù)的供應(yīng)及維護(hù)功能，二是為業(yè)務(wù)應(yīng)用系統(tǒng)提供權(quán)限驗(yàn)證等服務(wù)。詳細(xì)步驟如下：業(yè)務(wù)應(yīng)用系統(tǒng)將組織機(jī)構(gòu)、角色、功能、權(quán)限對(duì)象、數(shù)據(jù)集注冊(cè)到統(tǒng)一權(quán)限平臺(tái)中，業(yè)務(wù)應(yīng)用系統(tǒng)中不保存這些數(shù)據(jù)；用戶訪問(wèn)業(yè)務(wù)應(yīng)用資源時(shí)，業(yè)務(wù)應(yīng)用系統(tǒng)調(diào)用統(tǒng)一權(quán)限平臺(tái)提供的接口服務(wù)，對(duì)用戶請(qǐng)求的資源進(jìn)行權(quán)限校驗(yàn)；業(yè)務(wù)應(yīng)用系統(tǒng)根據(jù)需要，可調(diào)用統(tǒng)一權(quán)限平臺(tái)提供的服務(wù)，查詢組織、角色、資源等相關(guān)信息工作分工如下：統(tǒng)一權(quán)限平臺(tái)項(xiàng)目組制定統(tǒng)一權(quán)限接口服務(wù)規(guī)范；編寫(xiě)基于統(tǒng)一權(quán)限的業(yè)務(wù)系統(tǒng)開(kāi)發(fā)指南，培訓(xùn)并指導(dǎo)開(kāi)發(fā)商使用。ESB總線服務(wù)項(xiàng)目組將統(tǒng)一權(quán)限服務(wù)注冊(cè)到企業(yè)服務(wù)總線；配合進(jìn)行聯(lián)調(diào)測(cè)試。業(yè)務(wù)應(yīng)用系統(tǒng)開(kāi)發(fā)商根據(jù)統(tǒng)一權(quán)限項(xiàng)目組提供的業(yè)務(wù)系統(tǒng)開(kāi)發(fā)指南，設(shè)計(jì)并實(shí)現(xiàn)系統(tǒng)中功能和數(shù)據(jù)權(quán)限的控制。安全性設(shè)計(jì)1.如果采用ESB總線服務(wù)集成，則ESB總線服務(wù)與業(yè)務(wù)應(yīng)用之間的服務(wù)調(diào)用通信安全遵照ESB總線服務(wù)安全策略集成；2.如果業(yè)務(wù)應(yīng)用與統(tǒng)一權(quán)限平臺(tái)項(xiàng)目組集成不通過(guò)ESB總線服務(wù)，則統(tǒng)一權(quán)限平臺(tái)項(xiàng)目組對(duì)業(yè)務(wù)應(yīng)用的集成進(jìn)行賬號(hào)、口令認(rèn)證并進(jìn)行IP限制相結(jié)合的方式，認(rèn)證賬號(hào)、口令、IP在進(jìn)行集成時(shí)由業(yè)務(wù)系統(tǒng)運(yùn)維人員分配。統(tǒng)一認(rèn)證集成規(guī)范安全性和實(shí)現(xiàn)原理安全性用戶只需要一次性錄入用戶名和密碼，之后通過(guò)ticket綁定用戶，在ISC-SSO客戶端與ISC-SSO服務(wù)端校驗(yàn)是通過(guò)ticket，并不會(huì)在網(wǎng)上傳輸密碼，所以可以保證安全性，密碼不被竊取。ISC-SSO服務(wù)端與客戶端通信采用加密數(shù)字證書(shū)，以保證通信的安全性(SSL訪問(wèn)協(xié)議)。實(shí)現(xiàn)原理：1個(gè)cookie+N個(gè)session。ISC-SSO客戶端創(chuàng)建cookie為各應(yīng)用在統(tǒng)一認(rèn)證場(chǎng)景中認(rèn)證時(shí)使用,各應(yīng)用通過(guò)在IE創(chuàng)建各自的session來(lái)標(biāo)識(shí)應(yīng)用是否已經(jīng)登錄。（1）Cookie:在統(tǒng)一認(rèn)證場(chǎng)景中為各應(yīng)用認(rèn)證時(shí)使用，實(shí)現(xiàn)了只需一次錄入用戶密碼。（2）Session:各應(yīng)用會(huì)創(chuàng)建自己的session表示是否登錄。認(rèn)證過(guò)程說(shuō)明isc_sso_agent以過(guò)濾器的方式保護(hù)業(yè)務(wù)應(yīng)用的受保護(hù)資源，過(guò)濾從客戶端過(guò)來(lái)的每一個(gè)HTTP請(qǐng)求，同時(shí)，isc_sso_agent會(huì)分析HTTP請(qǐng)求中是否包請(qǐng)求ServiceTicket(圖1中的Ticket)，如果沒(méi)有，則說(shuō)明該用戶是沒(méi)有經(jīng)過(guò)認(rèn)證的，isc_sso_agent會(huì)重定向用戶請(qǐng)求到isc_sso（Step2）。Step3是用戶認(rèn)證過(guò)程，如果用戶提供了正確的認(rèn)證信息,isc_sso會(huì)產(chǎn)生一個(gè)隨機(jī)的ServiceTicket，會(huì)發(fā)送一個(gè)Ticketgrantingcookie(TGC)給用戶的瀏覽器，并且重定向到isc_sso_agent（附帶剛才產(chǎn)生的ServiceTicket）。Step5和Step6是isc_sso_agent和isc_sso之間完成了一個(gè)對(duì)用戶的身份核實(shí)，用Ticket查到用戶信息（目錄中的用戶屬性，用Json格式返回給客戶端），認(rèn)證通過(guò)。圖3是ISC-SSO最基本的協(xié)議過(guò)程：ISC_SSO客戶端是指接入到統(tǒng)一認(rèn)證系統(tǒng)的業(yè)務(wù)系統(tǒng)ISC_SSO服務(wù)端是指統(tǒng)一認(rèn)證服務(wù)器LDAP目錄服務(wù)器用于儲(chǔ)存用戶賬號(hào)信息MemCached高速緩存用于儲(chǔ)存已登錄用戶的賬號(hào)密碼圖3：基礎(chǔ)協(xié)議圖認(rèn)證時(shí)序圖（圖2：）具體實(shí)現(xiàn)方法導(dǎo)入證書(shū)統(tǒng)一認(rèn)證需要在業(yè)務(wù)系統(tǒng)中間件導(dǎo)入證書(shū)，以及在訪問(wèn)業(yè)務(wù)系統(tǒng)的客戶端安裝證書(shū)，證書(shū)的獲?。ㄓ煽偛拷y(tǒng)一下發(fā)證書(shū)給各網(wǎng)?。?、導(dǎo)入、安裝如下：域名訪問(wèn)統(tǒng)一認(rèn)證采用域名訪問(wèn)的方式，請(qǐng)先和網(wǎng)省現(xiàn)場(chǎng)統(tǒng)一權(quán)限負(fù)責(zé)人確認(rèn)，網(wǎng)省是否配置了域名服務(wù)器，可以解析的域名。如果未配置，無(wú)法解析的域名，則需要如下操作：修改本地hosts文件，映射統(tǒng)一認(rèn)證服務(wù)端ip地址與證書(shū)域名，如圖：注意該IP地址，請(qǐng)聯(lián)系相應(yīng)網(wǎng)省現(xiàn)場(chǎng)的統(tǒng)一權(quán)限方負(fù)責(zé)人。Linux的Hosts文件地址如：/etc/hostswindows的Hosts文件地址如：C:\WINDOWS\system32\drivers\etc\hosts業(yè)務(wù)系統(tǒng)中間件jdk導(dǎo)入統(tǒng)一認(rèn)證的證書(shū)將.1步驟獲取的證書(shū)拷貝到中間件服務(wù)器的某一路徑下（如：/isc/iscserver.cer）打開(kāi)字符終端，切換到與當(dāng)前JAVA_HOME環(huán)境變量對(duì)應(yīng)的JDK目錄的bin目錄下（如：cd/root/Oracle/Middleware/jdk160_29/bin），若無(wú)JAVA_HOME環(huán)境變量，則使用weblogic下的jdk和jrockit導(dǎo)入，這兩個(gè)都要執(zhí)行一次導(dǎo)入證書(shū)，詳細(xì)路徑見(jiàn)下方注意事項(xiàng)中描述。利用keytool工具執(zhí)行下面的命令。./keytool-import-trustcacerts-aliasiscsso-file/isc/iscserver.cer-keystore/root/Oracle/Middleware/jdk160_29/jre/lib/security/cacerts-storepasschangeit這個(gè)命令是將當(dāng)前位于/isc目錄下的iscserver.cer證書(shū)文件導(dǎo)入到一個(gè)名為cacerts的文件當(dāng)中，這個(gè)文件的路徑如藍(lán)字描述，需要修改為當(dāng)前JDK目錄下的jre/lib/security目錄下（一定要是JDK目錄下的JRE目錄，而不能是與JDK平級(jí)的JRE目錄）。注意：這里的例子都是Linux環(huán)境的路徑，windows環(huán)境請(qǐng)自行修改為與之匹配的路徑。這里的JAVA_HOME環(huán)境變量是指中間件(tomcat、weblogic)所引用的jdk路徑，linux下可使用echo$JAVA_HOME查看是否有該環(huán)境變量設(shè)置，若無(wú)JAVA_HOME環(huán)境變量設(shè)置，則需要在weblogic下的jdk和jrockit均執(zhí)行該命令追加導(dǎo)入證書(shū)。Weblogic9導(dǎo)入證書(shū)路徑如…./bea/jdk150_04/jre/lib/security…/bea/jrockit90_150_04/jre/lib/securityWeblogic10導(dǎo)入證書(shū)路徑如…./Oracle/Middleware/jdk160_29/jre/lib/security…/Oracle/Middleware/jrockit_160_29_D1.2.0-10/jre/lib/securitytomcat導(dǎo)入證書(shū)路徑是JAVA_HOME環(huán)境變量所對(duì)應(yīng)的jdk環(huán)境。執(zhí)行這個(gè)命令，在提示地方輸入"y"即完成cacerts文件的創(chuàng)建工作。上述過(guò)程的執(zhí)行例子如下：對(duì)weblogic中jdk下導(dǎo)入證書(shū)：cd/root/Oracle/Middleware/jdk160_29/bin./keytool-import-trustcacerts-aliasiscsso-file/isc/iscserver.cer-keystore/root/Oracle/Middleware/jdk160_29/jre/lib/security/cacerts-storepasschangeit執(zhí)行結(jié)果類似下圖：對(duì)weblogic中jrocket下導(dǎo)入證書(shū)：cd/root/Oracle/Middleware/jrockit_160_29_D1.2.0-10/bin./keytool-import-trustcacerts-aliasiscsso-file/isc/iscserver.cer-keystore/root/Oracle/Middleware/jrockit_160_29_D1.2.0-10/jre/lib/security/cacerts-storepasschangeit執(zhí)行結(jié)果類似下圖：訪問(wèn)業(yè)務(wù)系統(tǒng)的客戶端瀏覽器安裝統(tǒng)一認(rèn)證的證書(shū)在統(tǒng)一權(quán)限集成上線后，用戶登錄業(yè)務(wù)系統(tǒng)，默認(rèn)會(huì)跳轉(zhuǎn)到統(tǒng)一認(rèn)證登錄界面，在該界面也可以通過(guò)下載鏈接下載證書(shū)，安裝到客戶端瀏覽器中。雙擊證書(shū)“iscserver.cer”，點(diǎn)擊“安裝證書(shū)…”，點(diǎn)擊“下一步”，選擇“將所有的證書(shū)放入下列存儲(chǔ)“，選擇”受信任的根證書(shū)頒發(fā)機(jī)構(gòu)“，如圖：點(diǎn)擊“確定”后，彈出的對(duì)話框，選擇“是”，點(diǎn)擊“下一步”，點(diǎn)擊“完成”。客戶端程序開(kāi)發(fā)配置過(guò)程基于Filter的實(shí)現(xiàn)方式客戶端系統(tǒng)在接入SSO統(tǒng)一認(rèn)證系統(tǒng)時(shí)，只需要在工程中加入SSO客戶端核心jar包，引入SSO過(guò)濾器filter，再實(shí)現(xiàn)少量業(yè)務(wù)邏輯就可以完成接入，詳細(xì)過(guò)程如下：增加過(guò)濾器過(guò)濾受保護(hù)的客戶端頁(yè)面資源將isc_sso_agent.jar包引入到工程類路徑中，修改web.xml增加SSO過(guò)濾器，在web.xml中增加如下代碼片段：<!--統(tǒng)一認(rèn)證--><filter><filter-name>IscSingleSignOutFilter</filter-name><filter-class>com.sgcc.isc.ualogin.client.filter.IscSingleSignOutFilter</filter-class></filter><filter-mapping><filter-name>IscSingleSignOutFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><listener><listener-class>com.sgcc.isc.ualogin.client.listener.IscSingleSignOutHttpSessionListener</listener-class></listener><filter><filter-name>AuthenticationFilter</filter-name><filter-class>com.sgcc.isc.ualogin.client.filter.IscSSOAuthenticationFilter</filter-class><init-param><!--統(tǒng)一認(rèn)證訪問(wèn)地址--><param-name>serverLoginUrl</param-name><param-value>:7002/isc_sso/login</param-value></init-param><init-param><!—業(yè)務(wù)系統(tǒng)訪問(wèn)地址--><param-name>serverName</param-name><param-value>http://host:7001</param-value></init-param></filter><filter-mapping><filter-name>AuthenticationFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><filter><filter-name>ValidationFilter</filter-name><filter-class>com.sgcc.isc.ualogin.client.filter.IscSSO20ProxyReceivingTicketValidationFilter</filter-class><init-param><!--統(tǒng)一認(rèn)證訪問(wèn)地址--><param-name>serverUrlPrefix</param-name><param-value>:7002/isc_sso/</param-value></init-param><init-param><!—業(yè)務(wù)系統(tǒng)訪問(wèn)地址--><param-name>serverName</param-name><param-value>http://host:7001</param-value></init-param></filter><filter-mapping><filter-name>ValidationFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><filter><filter-name>HttpServletRequestWrapperFilter</filter-name><filter-class>com.sgcc.isc.ualogin.client.filter.IscSSOHttpServletRequestWrapperFilter</filter-class></filter><filter-mapping><filter-name>HttpServletRequestWrapperFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><filter><filter-name>AssertionThreadLocalFilter</filter-name><filter-class>com.sgcc.isc.ualogin.client.filter.IsoSSOAssertionThreadLocalFilter</filter-class></filter><filter-mapping><filter-name>AssertionThreadLocalFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping><session-config><session-timeout>30</session-timeout></session-config><!--統(tǒng)一認(rèn)證-->通過(guò)SSO客戶端API取用戶信息，代碼示例如下：IscSSOUserBeanuserbean=IscSSOResourceUtil.getIscUserBean(req);//參數(shù)是javax.servlet.http.HttpServletRequest基于corejavaobjects的實(shí)現(xiàn)方式可以在登錄模塊中加入以下代碼，接入到統(tǒng)一認(rèn)證系統(tǒng)：/*判斷ticket是否存在，不存在重定向到統(tǒng)一認(rèn)證客戶端*/if(null==request.getParameter("ticket")||"".equals(request.getParameter("ticket"))){/*重定向到統(tǒng)一認(rèn)證服務(wù)端，service參數(shù)是業(yè)務(wù)系統(tǒng)LoginModule請(qǐng)求地址*/response.sendRedirect(":7002/isc_sso/login?service=:8082/sap_sso/login");return;}/*ticket校驗(yàn)器*/IscServiceTicketValidatorsv=newIscServiceTicketValidator();/*統(tǒng)一認(rèn)證服務(wù)端校驗(yàn)器地址*/sv.setCasValidateUrl(":7002/isc_sso/serviceValidate");/*業(yè)務(wù)系統(tǒng)LoginModule訪問(wèn)地址*/sv.setService(":8082/sap_sso/login");/*設(shè)置Ticket*/sv.setServiceTicket(request.getParameter("ticket"));/*校驗(yàn)*/try{sv.validate();}catch(SAXExceptione){//TODOAuto-generatedcatchblocke.printStackTrace();}catch(ParserConfigurationExceptione){//TODOAuto-generatedcatchblocke.printStackTrace();}xmlResponse=sv.getResponse();if(sv.isAuthenticationSuccesful()){user=sv.getUser();}else{errorCode=sv.getErrorCode();errorMessage=sv.getErrorMessage();/*handletheerror*/System.out.println("errorInfo>"+errorCode+"\r\n"+errorMessage);}System.out.println("userinfo>>>>>>>>>>>>"+user);IscSSOUserBeaniscSSOUserBean=null;try{/*獲取當(dāng)前用戶登錄信息*/iscSSOUserBean=IscSSOResourceUtil.transferIscUserBean(user);/*當(dāng)前登錄用戶ID*/Stringuserid=iscSSOUserBean.getIscUserId();System.out.println(userid);/*當(dāng)前登錄用戶賬號(hào)*/StringloginName=iscSSOUserBean.getIscUserSourceId();System.out.println(loginName);}catch(Exceptione){//TODOAuto-generatedcatchblocke.printStackTrace();}數(shù)據(jù)同步集成接口規(guī)范數(shù)據(jù)同步接口格式由統(tǒng)一權(quán)限平臺(tái)提供“統(tǒng)一的接口規(guī)范”，各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)均按該規(guī)范生成Webservice接口供統(tǒng)一權(quán)限平臺(tái)進(jìn)行調(diào)用，在調(diào)用后返回以下統(tǒng)一的返回值：輸入同步數(shù)據(jù)需要推送到各業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限相關(guān)數(shù)據(jù)輸出輸出結(jié)果為XML數(shù)據(jù)，其XML格式如下：<?xmlversion="1.0"encoding="UTF-8"?><!--result：執(zhí)行情況0：成功1：失敗--><isc><result>1</result><time>2012-11-1111:11:11:000</time><!--時(shí)間戳--><description>失敗原因:**</description><!--失敗原因，執(zhí)行成功時(shí)可為空-></isc> 接口中的輸入?yún)?shù)描述，詳見(jiàn)4.2章節(jié)。接口列表交換數(shù)據(jù)模型圖6：交換數(shù)據(jù)模型圖數(shù)據(jù)同步范圍統(tǒng)一授權(quán)系統(tǒng)原則上只允許對(duì)角色進(jìn)行授權(quán)，其中角色分為業(yè)務(wù)角色和業(yè)務(wù)組織角色兩種類型。實(shí)體對(duì)象O.業(yè)務(wù)組織機(jī)構(gòu)。U.用戶R.業(yè)務(wù)角色RG.角色組P.業(yè)務(wù)組織角色。D.數(shù)據(jù)集。DT.數(shù)據(jù)類型。F.功能。W.權(quán)限對(duì)象。關(guān)系O-U關(guān)系：用戶與組織機(jī)構(gòu)的關(guān)系。O-R關(guān)系：用戶所對(duì)應(yīng)的多個(gè)業(yè)務(wù)角色關(guān)系。U-P關(guān)系：用戶所對(duì)應(yīng)的業(yè)務(wù)組織角色關(guān)系。O-P關(guān)系：業(yè)務(wù)組織角色與組織機(jī)構(gòu)的關(guān)系。R-F關(guān)系：業(yè)務(wù)角色的各種授權(quán)關(guān)系。P-D、P-F、P-W關(guān)系：業(yè)務(wù)組織角色的各種分級(jí)授權(quán)關(guān)系。數(shù)據(jù)接口規(guī)范詳細(xì)接口定義以此wsdl文件為準(zhǔn)，見(jiàn)附件isc_servicesv1.0.wsdl。數(shù)據(jù)同步提示：當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)收到新增或修改的數(shù)據(jù)時(shí)，首先判斷此數(shù)據(jù)在業(yè)務(wù)應(yīng)用系統(tǒng)是否存在，如果存在則更新數(shù)據(jù)，如果不存在則新增數(shù)據(jù)；當(dāng)業(yè)務(wù)應(yīng)用系統(tǒng)收到刪除的數(shù)據(jù)時(shí)，首先判斷此數(shù)據(jù)在業(yè)務(wù)應(yīng)用系統(tǒng)是否存在，如果不存在，則不處理，如果存在則在業(yè)務(wù)應(yīng)用系統(tǒng)中刪除此數(shù)據(jù)。U.用戶(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間用戶數(shù)據(jù)接口syncUser<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注USER_ID用戶IDStringTRUE32統(tǒng)一權(quán)限平臺(tái)的唯一IDLOGIN_NAME用戶登錄名StringTRUE100REAL_NAME姓名StringTRUE20USER_STATUS用戶狀態(tài)StringTRUE1BIZORG_ID所屬部門的IDStringTRUE320..n，對(duì)需要用戶和組織關(guān)系的系統(tǒng)才進(jìn)行推送GENDER性別String8IDENTITY_NO身份證號(hào)String30BIRTHDAY生日String10格式Y(jié)YYY-MM-DDMOBILE手機(jī)String30OFFICE_PHONE辦公座機(jī)String30EMAIL用戶郵件String40EMPLOY_NO工號(hào)String30POSITION_CODE崗位編碼String8POSITION_NAME崗位名稱String30JOB職稱String80DUTY職務(wù)String30DEGREE_CODE文化程度String30COMMENTS備注String256UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注BASE_ORG_ID基準(zhǔn)組織機(jī)構(gòu)IDString32基準(zhǔn)組織機(jī)構(gòu)IDBASEORGNAME基準(zhǔn)組織機(jī)構(gòu)名稱String100基準(zhǔn)組織機(jī)構(gòu)名稱APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDSAP_HR_USER_ID人資編碼String32人資編碼O.業(yè)務(wù)組織機(jī)構(gòu)(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間業(yè)務(wù)組織數(shù)據(jù)接口syncBizOrganization<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注BIZORG_ID組織IDStringTRUE32統(tǒng)一權(quán)限平臺(tái)的唯一IDBIZORG_CODE單位編號(hào)String60當(dāng)該對(duì)象是單位時(shí)，傳入國(guó)網(wǎng)統(tǒng)一的單位編號(hào)；當(dāng)該對(duì)象是部門時(shí)為空BIZORG_NAME組織名稱StringTRUE200SHORT_NAME組織簡(jiǎn)稱String200BIZORG_CATLOG組織種類String11：?jiǎn)挝?：部門BIZORG_TYPE組織類型StringTRUE30如：市公司、抄表班PARENT_BIZORG_ID上級(jí)組織編碼String32SORT_NO排序號(hào)String30同級(jí)排序BASE_ORG_CODE基準(zhǔn)組織編碼String120對(duì)應(yīng)基準(zhǔn)組織體系中組織編碼BIZORG_DESC組織描述String250UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注PARENT_PORT_ORG上級(jí)對(duì)口部門String32上級(jí)對(duì)口部門APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDSAP_HR_ORG_ID人資編碼String32人資編碼RG.業(yè)務(wù)角色分組(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間業(yè)務(wù)角色分組同步接口syncBizRoleGroup<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注BIZROLEGROUP_ID業(yè)務(wù)角色分組IDStringTRUE32統(tǒng)一授權(quán)系統(tǒng)的唯一IDBIZROLEGROUP_NAME業(yè)務(wù)角色分組名稱StringTRUE60UPDATE_DATE最后更新時(shí)間StringTRUE81格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDR.業(yè)務(wù)角色(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間業(yè)務(wù)角色數(shù)據(jù)接口syncBizRole<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注BIZROLE_ID業(yè)務(wù)角色I(xiàn)DStringTRUE32統(tǒng)一授權(quán)系統(tǒng)的唯一IDBIZROLE_NAME業(yè)務(wù)角色名稱StringTRUE100BIZROLEGROUP_ID業(yè)務(wù)角色分組IDStringTRUE32UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDP.業(yè)務(wù)組織角色(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間業(yè)務(wù)組織角色數(shù)據(jù)接口syncBizOrgRole<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注BIZORGROLE_ID業(yè)務(wù)組織角色I(xiàn)DStringTRUE32BIZORGROLE_NAME業(yè)務(wù)組織角色名稱StringTRUE100BIZROLE_ID業(yè)務(wù)角色I(xiàn)DStringTRUE32BIZORG_ID所屬部門的IDStringTRUE32UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除String11：已刪除EXTENDS擴(kuò)展信息1000擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDDT.數(shù)據(jù)類型(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間數(shù)據(jù)類型數(shù)據(jù)接口syncDataType<=100ms/條<=200ms/條(2)參數(shù)定義數(shù)據(jù)類型字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注DATATYPE_ID數(shù)據(jù)類型IDStringTRUE32DATATYPE_NAME數(shù)據(jù)類型名稱StringTRUE30DATATYPE_CODE數(shù)據(jù)類型編碼StringTRUE30UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDD.數(shù)據(jù)集(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間數(shù)據(jù)集數(shù)據(jù)接口syncDataSet<=100ms/條<=200ms/條(2)參數(shù)定義數(shù)據(jù)集字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注DATASET_ID數(shù)據(jù)集IDStringTRUE32DATASET_NAME數(shù)據(jù)集名稱StringTRUE30DATASET_CODE數(shù)據(jù)集編碼String30通過(guò)固定格式字符串存放數(shù)據(jù)集在業(yè)務(wù)應(yīng)用系統(tǒng)的詳細(xì)屬性DATATYPE_ID數(shù)據(jù)類型IDStringTRUE32UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息1000擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDW.權(quán)限對(duì)象(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間權(quán)限對(duì)象數(shù)據(jù)接口syncResource<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注RES_ID權(quán)限對(duì)象IDStringTRUE32RES_NAME權(quán)限對(duì)象名稱StringTRUE30RES_CODE權(quán)限對(duì)象編碼String100FUNC_ID功能IDString32RES_INFO權(quán)限對(duì)象詳細(xì)數(shù)據(jù)String1000通過(guò)固定格式字符串存放權(quán)限對(duì)象在業(yè)務(wù)應(yīng)用系統(tǒng)的詳細(xì)屬性SORT_NO排序號(hào)String同級(jí)排序UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDF.功能(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間功能數(shù)據(jù)接口syncFunction<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注FUNC_ID功能IDStringTRUE32FUNC_NAME功能名稱StringTRUE60FUNC_URL業(yè)務(wù)處理鏈接String200PARENT_FUNC_ID上級(jí)功能IDString32FUNC_INFO功能詳細(xì)數(shù)據(jù)String300通過(guò)固定格式字符串存放功能在業(yè)務(wù)應(yīng)用系統(tǒng)的詳細(xì)屬性SORT_NO排序號(hào)String30同級(jí)排序FUNC_STATUS功能狀態(tài)StringTRUE1Y啟用N禁用IS_LEAF是否末級(jí)節(jié)點(diǎn)String10否1是UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09IS_DELETED是否已刪除StringTRUE11：已刪除EXTENDS擴(kuò)展信息擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDU-R.用戶與業(yè)務(wù)角色關(guān)系(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間用戶與業(yè)務(wù)角色關(guān)系數(shù)據(jù)接口syncBizRoleOfUser<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注USER_ID用戶IDStringTRUE32BIZROLE_ID業(yè)務(wù)角色I(xiàn)DStringTRUE1000數(shù)組UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDU-P.用戶與業(yè)務(wù)組織角色關(guān)系(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間用戶與業(yè)務(wù)組織角色關(guān)系數(shù)據(jù)接口syncBizOrgRoleOfUser<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注USER_ID用戶IDStringTRUE32BIZORGROLE_ID業(yè)務(wù)組織角色I(xiàn)DStringTRUE1000數(shù)組BIZORG_ID組織IDString1000UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDR-F.業(yè)務(wù)角色與功能授權(quán)關(guān)系(1)接口設(shè)計(jì)接口描述接口方法平均響應(yīng)時(shí)間最高響應(yīng)時(shí)間業(yè)務(wù)角色與功能授權(quán)關(guān)系數(shù)據(jù)接口syncFunctionOfBizRole<=100ms/條<=200ms/條(2)參數(shù)定義字段描述信息如下：屬性名稱字段類型必填字段長(zhǎng)度備注BIZROLE_ID業(yè)務(wù)角色I(xiàn)DStringTRUE32FUNC_ID功能IDStringTRUE1000數(shù)組UPDATE_DATE最后更新時(shí)間StringTRUE18格式如：2011-01-0112:12:09EXTENDS擴(kuò)展信息1000以key-value形式的XML字符串對(duì)參數(shù)進(jìn)行擴(kuò)展擴(kuò)展屬性 屬性名稱字段類型字段長(zhǎng)度備注APP_ID業(yè)務(wù)系統(tǒng)IDString32業(yè)務(wù)系統(tǒng)IDR-W.業(yè)務(wù)角色與權(quán)限對(duì)象授權(quán)關(guān)系(1)接口設(shè)計(jì)接口描