第12期2023年6月无线互联科技Wireless Internet TechnologyNo.12June,2023作者简介:高逸昕(1992 ),女,山东淄博人,助理工程师,学士;研究方向:校园信息化,校园一卡通㊂校园一卡通能力开放平台设计高逸昕,孔敬媛,王逸群(中国石油大学(华东)信息化建设处,山东青岛266580)摘要:在当今互联网应用发展中,能力开放平台起到很重要的作用㊂为实现校园一卡通系统与智慧校园各项应用的深度融合,建设校园一卡通能力开放平台,梳理各项核心数据与服务,以统一的规范进行开放㊂文章通过分析校园一卡通能力开放平台的功能需求,设计基于微服务框架的平台架构和能力调用的业务流程,根据实际业务规模设计平台的物理部署方案㊂实际测试结果表明平台设计达到了预期功能目标,具有良好的服务并发性能和快速响应能力㊂关键词:校园一卡通;能力开放平台;微服务架构中图分类号:TP393㊀㊀文献标志码:A0㊀引言㊀㊀校园一卡通系统是数字校园的基础应用,长期以来,高校致力于推进面向校园卡的校园应用集成[1]㊂通过与校园一卡通系统对接,数字校园各个应用系统能够共享校园卡的身份识别和电子支付功能,如机房管理系统㊁图书管理系统㊁上课考勤系统㊁大学生体测系统等,真正实现了 一卡在手,走遍校园 的主旨㊂校园卡在教学㊁管理㊁生活等方面的广泛应用方便了师生,提高了校园的管理水平和运行效率㊂随着云计算㊁移动互联网㊁人工智能等新技术的不断发展,新一代校园一卡通系统呈现出卡码脸多介质㊁移动支付㊁聚合支付(校园卡㊁银行卡㊁微信㊁支付宝等)等新特征[2-3],线上功能更加丰富㊂当前,在高校信息化整体规划下,建设基于智慧校园的校园一卡通系统,将校园卡的数据和服务通过API 的形式开放,从而与教学㊁科研㊁管理信息系统进一步融合,使师生能够随时随地随需地获取资源和服务㊂1㊀校园一卡通能力开放平台㊀㊀早期,基于校园一卡通的应用集成,都遵循一套API 接口,将读卡㊁扣款㊁写卡等功能集成到自己的系统流程中,从而获取的核心能力就是校园卡的身份认证和支付功能㊂比如:图书借阅管理系统通过读卡获取读者身份,超期罚款可以通过校园卡扣款㊂随着校园一卡通系统数据和应用的不断丰富,API 数量不断增多,各个系统之间点对点的调用交叉,部分数据不统一,从而导致管理混乱㊂为了加强对一卡通系统各项开放能力进行集中统一管理,实现能力的聚合㊁开放㊁鉴权㊁转发㊁限流和监控,校园一卡通能力开放平台应运而生㊂能力开放平台[4-5]是一个独立的业务管理平台系统,它通过数据的治理和业务的梳理,将核心数据和核心服务通过API 的形式开放㊂例如:阿里云开发者平台㊁百度地图开放平台㊁微信开放平台等,都建立了良好的开发者生态体系㊂校园一卡通能力开放平台实现了各个子系统能力的聚合,为各子系统的能力开放管控提供统一方案,避免重复开放,形成统一的能力规范;同时,能力开放平台还提供了统一的鉴权和监控管理能力㊂通过建设能力开放平台,就可以基于校园一卡通的核心能力,构建一个强大的应用生态体系㊂2㊀校园一卡通能力开放平台设计㊀㊀校园一卡通能力开放平台采用新的技术及 能力开放平台+应用 的设计理念,按照业务板块分散建立各个系统,向 重开放平台㊁薄系统应用 的方向发展,逐步形成统一的架构体系㊂对开放平台的顶层进行重点设计和规划,重点突出共享服务层和开放公用的思想,实现统一对外提供服务㊁统一访问数据层,满足并达到能力开放㊁数据共享的核心价值㊂2.1㊀平台功能㊀㊀校园一卡通能力开放平台主要功能应包括:(1)定义能力接口的标准规范㊂为汇聚到本平台的能力制定命名规则㊁认证方式㊁签名方式等标准㊂(2)实现能力聚合的管理㊂将各业务中台㊁场景服务提供的能力汇聚到本平台中,便于智慧校园中各个应用开发者查阅㊁使用这些能力㊂(3)实现能力开放的管理㊂支持应用开发者自助申请开通本平台聚合的能力,并支持对各应用系统使用本平台的能力情况进行有效管控㊂(4)提供鉴权能力㊂在接收到应用服务能力使用请求时,先进行鉴权,确认被合法授权后才将请求转发到真正提供服务的业务中台或场景服务中㊂(5)提供监控访问能力㊂在接收到合作方(第三方)请求之后,能力平台会将这些请求的记录进行保留,定期生成日志和统计图表,做到有据可查,保证了系统访问的可控㊂2.2㊀架构设计㊀㊀校园一卡通能力开放平台建设的总体目标是 服务治理+能力开放 ,在进行架构设计时,遵从以下3点原则:(1)对于内部服务的治理,包括业务梳理㊁机构化㊁整合与改造㊁实现校园全业务的流程统一和管控统一,从而为能力开发奠定坚实基础㊂(2)能力开放,以此聚合第三方应用,拓展业务渠道,构建敏捷的业务运营与创新能力,将业务重点放到师生关注的内容上来㊂(3)能力开放平台建设遵循 标准化㊁集中化㊁统一化㊁安全化 的原则㊂标准化指制定方案和规范,实现标准接入㊁标准协议㊁鉴权㊁运营监控的基本功能,定义好标准后对外开放㊂集中化指所有服务集中部署于统一平台,提升集中化管理水平㊂统一化指实现服务的统一注册㊁统一管理㊁统一发布㊁统一接入㊁统一监控的全生命周期管理㊂安全化指通过密钥㊁代理模式加固信息安全防御能力,防破解㊁防篡改㊁防止敏感信息泄露㊂根据前面所述平台的功能和架构设计,校园一卡通能力开放平台包含能力网关㊁能力管理模块㊁权限管理模块㊁服务注册配置中心㊁数据存储等部分,平台架构如图1所示㊂校园一卡通系统各项能力以微服务的形式在能力开放平台进行注册,以RESTful API 接口[6]的形式映射到能力网关,供应用客户端调用;应用客户端采用HTTPS协议访问能力网关㊂图1㊀校园一卡通能力开放平台架构㊀㊀网关完成应用客户端的认证㊁鉴权㊁请求的路由转发和限流等功能㊂能力管理平台实现能力聚合开放,把相互的能力㊁资源㊁信息等进行共享㊁组合㊁升级㊂权限管理模块提供认证和鉴权服务,授权采用OAuth2.0协议[7],认证采用JWT协议㊂持久数据存储在MySQL数据库中,同时使用Redis作为缓存,提供数据响应速度㊂平台提供的各种能力以微服务的形式提供㊂因此,基于Dubbo搭建服务注册配置中心,Dubbo可以提供服务注册㊁服务调用㊁负载均衡和智能容错等功能,还可以对各项能力进行实时监控㊁分析㊁告警等精细化管理㊂2.3㊀开放能力列表㊀㊀根据对校园一卡通核心数据和服务的梳理,确定开放平台注册的能力列表,包含账号登录㊁账号查询㊁流水查询㊁银行卡转账等,客户端通过HTTPS的方式访问能力接口,具体如表1所示㊂表1㊀校园一卡通能力开放平台开放能力能力名称请求URLo账号登录https:ʊ.../api/SignIn/SignIn学工号登录https:ʊ.../api/SignIn/SignIn_bysno用账号查询账户https:ʊ.../api/CardInfo/GetCardInfo用学工号查询账户https:ʊ.../api/CardInfo/GetCardInfo_bysno当日流水查询https:ʊ.../api/Tr jnInfo/GetCurdayTr jin历史流水查询https:ʊ.../api/Tr jnInfo/GetHisTx jn银行卡转卡账户https:ʊ.../api/Transfer/BanktoCardTransfer银行卡转电子账户https:ʊ.../api/Transfer/BanktoEaccTransfer2.4㊀业务流程设计㊀㊀能力开放平台聚合了各个业务中台提供的可开放的能力㊂合作方(第三方)应用客户端要调用所需的能力,向能力开放平台申请令牌(如:Java WebToken)[8],能力开放平台根据客户端在中心注册所配置的节点,对所请求的第三方授权进行令牌授予㊂合作方(第三方)首先使用能力开放平台所提供的应用ID 和密钥,向鉴权中心发送一个认证的请求,如图2所示㊂能力开放平台会验证此客户端的合法性㊂若合法,将生成一个Jwt,此时的token(Jwt)中加密了客户端的唯一ID㊁可访问权限列表的信息,之后返回给合作方㊂合作方可以调用能力开放平台的相关功能㊂下一步以调用平台支付能力为例,合作方(第三方)除了传递支付本身相关的参数以外,在请求头(header)中带上Jwt 消息,支付能力平台接收到来自客户端的请求后,会验证这个Jwt 的合法性和权限相关性㊂若通过,将给予客户端调用支付能力的权限并进行支付㊂此时,开放平台处理来自客户端的支付请求(还可继续调用银行的外部支付接口完成支付),待处理完成之后,将处理结果按照约定返回给合作方(第三方)㊂以上是一个典型的请求-响应流程,但开放平台自身还会提供基于定时任务或者消息队列的反馈机制,这点与回调的流程是类似的㊂图2㊀校园一卡通能力开放平台请求-响应流程3㊀校园一卡通能力开放平台部署与测试3.1㊀平台物理部署配置㊀㊀根据能力开放平台的架构设计,实际部署方案为:(1)前端部署两台Nginx 服务器用于应用反向代理,单台Nginx 服务器处理并发数可达3万,足以满足学校高峰时段的使用㊂(2)后端(服务端)部署两台服务器用于微服务业务处理㊂将微服务Java 源文件进行编译,并打包成Jar (War )包,分别拷贝到两台服务器的tomcat /webapps 目录下,同时启动tomcat㊂程序会把微服务的节点(各个子服务能力提供者)注册到配置中心的树状节点中㊂此时,服务消费端可以通过配置中心服务器的树状列表找到自己需要的服务,从而实现分布式微服务的功能㊂(3)部署一台Redis 服务器和1台MySQL 服务器㊂主要是考虑到应用高峰时段能力的调用会非常频繁,如果单纯采用关系型数据库直接查询,会导致数据查询缓慢㊁效率低下㊂系统采用Redis 作为能力平台的高速缓存,高峰期所有的能力调用都是直接通过内存中的高速缓存来进行,这样可以保证调用速度在毫秒级别,从而满足高峰时段的用户体验㊂3.2㊀平台性能测试㊀㊀能力开放平台主要是对API接口进行管理,它对能力调用的性能至关重要㊂第三方应用经过网关,网关路由转发到后台服务,后台服务响应回网关,网关再响应回第三方应用,这样一个流程所需的时间反映出能力开放平台的主要性能㊂经过大量性能测试,通过采取1500,2000,2500的线程数量,大致得出:对于单台服务器,它的单接口能力调用性能达到300 TPS(每秒能处理的请求),而多接口能力调用性能达到500TPS㊂4 结语㊀㊀校园一卡通能力开放平台建设,梳理了校园一卡通的核心数据和服务,以统一规范的形式向智慧校园各类第三方应用系统开放,实现了与智慧校园应用的深度融合,构建了强大的应用生态体系㊂平台对校园一卡通各项开放能力进行统一管理㊁统一监控,且具备安全㊁快捷的鉴权机制㊂通过采用分布式部署架构,平台具有良好的高并发和快速响应能力,并可根据业务需求的变化弹性提供服务能力,在实际应用中取得良好效果㊂参考文献[1]韩立峰.基于一卡通的校园应用集成[J].信息技术,2011(12):104-106.[2]荣娟,王逸群.校园虚拟卡系统的设计与规划[J].通讯世界,2019(2):302-303.[3]王逸群.高校校园卡充值方式的变化趋势[J].中国管理信息化,2018(15):206-207.[4]冯骐,沈富可.高校能力开放平台中的API网关设计与实现[J].中国教育信息化,2021(3):61-66. [5]徐华.基于微服务架构的图书馆能力开放平台设计[J].无线互联科技,2021(19):55-57. [6]韩立峰.校园一卡通开放平台REST API设计[J].微型电脑应用,2015(10):57-59.[7]刘晓晖,秦子实.基于OAuth2认证的REST API 设计与实践[J].电脑知识与技术,2021(15):56-57.[8]陈佳.一种基于JWT令牌认证的电力系统微服务认证授权方案[J].电工技术,2021(16):151-154.(编辑㊀王永超)Design of campus card capability open platformGao Yixin Kong Jingyuan Wang YiqunChina University of Petroleum East China Information Construction Department Qingdao266580 ChinaAbstract In today s Internet application development capability open platform plays a very important role.In order to realize the deep integration of campus all-in-one card system and smart campus applications build a open platform for campus all-in-one card capability sort out various core data and services and open them in a unified manner.By analyzing the functional requirements of the campus all-in-one card capability open platform the platform architecture based on the microservices framework and the business process of capability invocation are designed and the physical deployment scheme of the platform is designed according to the actual business scale.The actual test results show that the platform design achieves the expected functional goals and has good service concurrency performance and rapid response capability.Key words campus card system capability open platform micro service architecture。
