DB12 T 1199-2023 政务服务移动端“津心办”应用接入规范.pdf

1、ICS35.100CCS L 7912天津市地方标准DB12/T 11992023政务服务移动端津心办应用接入规范Access specification of government service mobile platform“JinXinBan”2023-04-07 发布2023-05-07 实施天津市市场监督管理委员会发 布DB12/T 11992023I目次前言.II1范围.12规范性引用文件.13术语和定义.14接入原则及要求.15接入流程.36应用技术要求.8附录 A（规范性）政务服务应用接入申请说明.12参考文献.13DB12/T 11992023II前言本文件按照GB/T 1

2、.12020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由天津市互联网信息办公室提出并归口。本文件起草单位：天津市大数据管理中心、天津市互联网信息办公室、天津市标准化研究院。本文件主要起草人：王芸、边柯柯、耿霞、耿博耘、季烨、时美、卢静、郎彬辉、王超、王作仁、王扬、谢津、李光营、由方岚、张旭威、杨强、王浩、董黎明。DB12/T 119920231政务服务移动端津心办应用接入规范1范围本文件规定了接入“津心办”移动政务服务系统的政务服务应用（以下简称“接入应用”）的接入原则、接入流程、接入要求等。本文件适用于市、区、街镇人民政府，部门及相关企事业单位（以下简称“接入单位”

3、）有关“津心办”移动政务服务系统（以下简称“津心办”）的政务服务应用接入工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 39554.1-2020全国一体化政务服务平台 政务服务事项基本目录及实施清单 第1部分：编码要求ZWFWC0103-2018国家政务服务平台政务服务移动端建设要求3术语和定义下列术语和定义适用于本文件。3.1移动政务服务系统the mobile platform of government service接入

4、单位移动政务服务应用及资源的汇聚、接入系统，面向自然人、法人和其他组织提供政务服务查询、办事服务的移动端入口。3.2政务服务应用the application of government service接入单位为自然人、法人和其他组织提供的各类网上政务服务。3.3共享交换平台总线cloud service bus整合业务应用系统，实现跨环境、跨归属应用系统之间的互通集成和管控，提供应用集成和服务开放能力的平台。3.4接口入驻interface entry将接入单位对外提供服务的系统接口接入到移动政务服务系统的行为。3.5高级实名用户 senior real name user参照GB/T 39

5、047-2020用户身份实名等级定级要求，至少具备三级以上实名核验等级的用户。4接入原则及要求DB12/T 1199202324.1接入原则4.1.1统一标准流程接入应用应按照统一接入流程和步骤进行开发和对接，数据接口与“津心办”统一规范，界面交互与“津心办”体验一致，用户信息与“津心办”互通互认。4.1.2统一接口规范接入应用应按照统一接口规范进行接口提交与审核，调用“津心办”统一输出的标准接口进行应用开发。4.1.3统一界面风格接入应用应按照“津心办”界面风格进行设计，实现界面风格统一。4.1.4统一用户对接接入应用应按照天津市一体化政务服务平台统一身份认证体系相关要求接入“津心办”。4.

6、1.5统一安全防护接入应用应通过生物识别技术实现用户真实身份确认；应具备SSL证书，使用HTTPS协议实现网页加密；应具备网页防篡改、防网络劫持、防页面挂马等安全防护能力；通过数据脱敏、数据防泄漏等技术保护用户个人信息。4.2接入要求4.2.1基本要求接入应用应进行前后端分离，应用后端以接口形式入驻“津心办”管理平台，应用前端调用“津心办”管理平台统一输出的标准接口进行对接开发。注：已注册在天津市共享交换平台总线的接口，可由总线直接转入“津心办”管理平台进行注册，未注册到总线的接口可直接注册到“津心办”管理平台。4.2.2接入页面要求接入应用在页面设计方面，应遵循以下技术要求：a)兼容性高，能

7、够适配不同移动终端机型；b)交互提示友好，针对不同使用场景有对应的使用引导；c)结构布局清晰，相同类型业务数据应归类展示，不同业务数据展示方式应有区分；d)体验流畅高效，页面数据展示延时最长不超过 2s，页面切换平滑流畅；e)操作层级简化，完整流程页面跳转最多不超过 5 层。4.2.3接入质量要求接入应用在风格、功能、体验、性能、安全等方面，应遵循以下技术要求：a)服务风格统一。接入应用保持文字大小统一、图片尺寸统一、按钮规格统一、表单样式统一、加载效果统一、底部落款统一；b)服务功能完善。接入应用在确保业务流程可行的前提下，简化业务办理流程，合理使用控件展示结果数据；DB12/T 11992

8、0233c)服务体验流畅。接入应用须考虑设备兼容性，避免出现闪退、加载错误、空白页、错链、死链等情况；d)服务性能稳定。保证接入应用接口响应速度，具备抗压、抗并发能力，备有故障解决预案；e)服务安全可靠。接入应用须经过安全加密、数据脱敏等处理，并支持 HTTPS 安全协议。4.2.4接入管理要求接入单位应对接入应用的兼容性、可用性、安全性等进行统一监控，定期在服务功能、用户体验、系统稳定、数据安全等方面对应用进行巡检，应做到：a)监测信息可用性；b)检查服务稳定性；c)监测和分析访问数据；d)制定可行的故障应急预案；e)做好应用版本管理。5接入流程5.1应用类型接入应用分为授权开放类应用和完全

9、开放类应用：a)授权开放类应用应按照 4.1.4 统一用户对接要求，经过用户授权，统一获取移动政务服务系统用户信息，按照规范流程接入“津心办”管理平台；b)完全开放类应用无需调用用户信息，按照规范流程接入“津心办”管理平台。5.2接入总体架构“津心办”接入总体架构包括各接入单位的政务服务应用接口、接口统一管理、应用统一管理以及移动APP、小程序的展现，具体见图1。图 1接入总体架构图DB12/T 1199202345.3接入流程图“津心办”接入流程分为接入申请、应用开发、应用审核发布三个步骤，具体见图2。图 2接入流程图5.4接入申请接入单位在对接应用前，应向“津心办”管理方提交接入申请单，由

10、“津心办”管理方统一回复结果，并按照以下要求开展：a)准备申请：接入单位须自行梳理业务服务场景，根据梳理情况填写政务服务应用接入申请表，按附录 A；b)提交申请：接入单位将申请表提交至“津心办”管理方，“津心办”管理方在接收到申请表后进行审核，并回复审核结果；c)账号分配：审核通过后，“津心办”管理方为接入单位分配“津心办”管理平台账号，用于入驻接口和应用，并将平台地址、账号密码、接入指南以及相关帮助文档回复至接入单位。5.5应用开发5.5.1接口入驻流程接口入驻包括应用注册、接口入驻、接口审核、接口调用，具体见图3。DB12/T 119920235图 3接口入驻流程图5.5.2应用注册接入单

11、位使用“津心办”管理平台账号登录平台注册应用。注册应用时须选择服务用户类型、开发语言、应用形式等相关约束。5.5.3接口入驻接入单位须将开发应用所需接口注册至“津心办”管理平台，注册参数见示例，包括接口地址、请求方式，以及相关请求参数与返回结果。示例：接口地址https:/*/query返回格式JSON请求方式get 或 post接口协议HTTPSDB12/T 119920236接口备注*接口请求参数名称必填类型说明region是string行政区划代码，见 GB/T 39554.1-2020 的 4.3pf是string可兼容的访问渠道如：gov中国政务服务all全端支持auth_code是

12、string业务代码，作为请求唯一标识name是string用户姓名code是string*编码返回参数名称必填类型说明result_code是string结果状态码如：100处理成功102处理失败103处理中error_code是string结果状态码为 102 时，接入单位接口返回自定义的错误码error_msg是string结果状态码为 102 时，接入单位接口返回自定义的错误消息date是string当前操作日期 YYYY-MM-DDJSON 返回process_response:result_code:100,date:2021-04-25,items:DB12/T 11992023

13、7id:15485,name:*丹,ctime:2021-04-25 12:04:23,desc:*5.5.4接口审核成功注册的接口，经“津心办”管理平台进行域名转换，并由“津心办”管理方进行统一审核。审核不通过的接口退回接入单位修改。5.5.5接口调用审核通过的接口会生成统一域名的接口网关地址。接入单位可自行调试接口进行应用开发。5.6应用审核发布5.6.1应用测试接入应用测试主要包括以下几个方面：a)接入单位联系“津心办”管理方，申请开发者测试工具使用权限；b)应用审核前，接入单位对应用进行全面测试，确保正常访问；c)应用中所有涉及用户基本信息、证照信息、办事信息等系统已有数据，要求自动关

14、联数据，避免用户二次输入。5.6.2应用提交接入应用使用HTML5语言开发，以压缩包（.zip）提交“津心办”管理平台，压缩包名称须同“津心办”管理平台新建应用时填写的应用标识一致。业务接口须调用“津心办”管理平台返回的标准接口。接入单位须按照标准流程进行应用开发，杜绝外链直接挂载。5.6.3应用审核“津心办”管理方使用“津心办”管理平台，对应用可用性、兼容性、安全性进行应用测试、审核，审核通过后可发布上架。5.6.4应用上下架按照ZWFWC0103-2018国家政务服务平台政务服务文件相关章节，政务服务应用经审核通过后，发布上架到相关政务服务主题分类，并对上架的政务服务应用进行统一监控，对政

15、务服务应用不稳定、安全风险大、并发性能差的应用予以限期整改，对情况严重的应用进行下架处理。DB12/T 1199202386应用技术要求6.1外部资源接入要求接入应用不得直接调用外部服务资源，包括但不限于接入应用开放的外网应用系统数据接口，如有特殊情况，应确保接口调用和数据传输的安全。对于应用服务页面内容引用的静态资源（JS文件、CSS文件、图片等），应随应用服务统一部署在“津心办”管理平台上，不得使用外链资源，防止因外链资源失效影响应用服务正常使用，如有须使用外链的第三方服务资源，须经严格审核。6.2用户信息对接要求接入应用应建立安全可靠的信息交互，具体见图4。图 4接入应用获取用户信息交互

16、图6.2.1用户授权接入应用在获取用户信息时，须弹出用户授权提示，经由用户同意后，方可获取用户信息。DB12/T 1199202396.2.2授权验证接入应用须对用户授权请求进行验证。6.2.3加密用户信息“津心办”对授权用户信息进行加密。6.2.4分发授权信息将已加密的授权用户信息分发给请求方。6.2.5解密用户信息接入应用使用“津心办”解密方式进行解密操作。6.3安全保护要求6.3.1身份真实性控制接入应用对于涉及用户隐私的，应仅限高级实名用户进入；如有必要，还可发起实时生物识别身份验证。6.3.2用户授权确认接入应用需调用用户个人隐私信息的，须弹出个人信息使用授权提示，说明提取信息类型和

17、用途，经用户确认后方可使用。6.3.3HTTPS 支持及网页防篡改接入应用应支持HTTPS协议，接入单位在开发应用服务时须使用具备网页防篡改功能的安全防护产品。6.3.4数据脱敏接入单位应根据实际业务情况，对输出的数据进行脱敏处理后向用户展示，脱敏范围应不少于50%，常见用户隐私信息脱敏规则示例，包含但不限如下：a)中文姓名脱敏 李*保留第一位，后面以*替换；b)公民身份号码脱敏*5762 保留后 4 位；c)护照脱敏 G2134*末 4 位用*代替；d)驾驶证脱敏 513221*0431 前 6 位和后 4 保留，出生年月日用*代替；e)毕业证脱敏 202131201201*用*代替毕业证流

18、水编号；f)学位证脱敏 1023712016*用*代替学历流水编号；g)社保卡脱敏 641321*0431 前 6 位和后 4 保留，出生年月日用*代替；h)固定电话脱敏*1234 保留后 4 位；i)手机号码脱敏 136*1234 保留前 3 位和后 4 位；j)QQ 脱敏 36*5 保留前 2 位和最后 1 位，其余用*代替；k)微信脱敏 vi*lr*1 分段屏蔽，每隔 2 位用*替换 2 位；l)地址脱敏 北京市海淀区*保留前 6 位；m)电子邮箱脱敏*“”前小于等于 5 位的，隐藏前 2 位；大于 5 位的，保留前 3位，其余用*代替；DB12/T 1199202310n)银行卡号脱敏

19、 6222*1234 保留前 4 位后 4 位；o)存折信息脱敏 1703*3825 保留前 4 位后 4 位；p)信贷记录脱敏 信贷记录-优 将信贷记录替换成优、良、中、差；q)征信信息脱敏 李*两个字或三个字的至少 1 个字用*代替，大于三个字的至少 2 个字用*代替，保留姓；r)车架号脱敏*722222 保留最后 6 位，其余用*代替；s)车牌号脱敏 津 A*77 保留地区编码和流水号最后 2 位，其余用*代替；t)公司开户银行联号脱敏 12*保留前 2 位；u)时间类的处理，脱敏规则为：入参 yyyymmdd(没有下划线，中划线)*1234 保留后 4 位，可根据不同业务需求场景自行判

20、断是否脱敏；v)接入单位可根据实际情况，采用数据防泄漏技术，实时监控系统数据流情况，制定数据防泄漏规范，一旦发现敏感信息泄露，立即作出相应处理。6.4命名规范要求接入应用应遵循以下命名要求：a)应用中文名称命名规则。应用中文名称应简单明了，说明应用用途；b)部门应用标识命名规则。应用标识=部门简称汉语拼音首字母+应用名称汉语拼音首字母；示例 1：“人社局职业资格证书查询”,命名为“rsjzyzgzscx”。c)区级应用标识命名规则。应用标识=地区名称汉语拼音首字母+应用名称汉语拼音首字母；示例 2：“和平区中考查询”,命名为“hpqzkcx”。d)企事业单位应用标识命名规则。应用标识=单位简称

21、汉语拼音首字母+应用名称汉语拼音首字母；示例 3：“建设银行网点查询”,命名为“jsyhwdcx”。e)命名重复排除规则。应用标识=应用标识+提报时间戳（具体到分钟）示例 4：如“和平区个税计算器”,命名为“hpqgsjsq”,如出现一个应用标识为“和平区个税计时器”,命名为“hpqgsjsq202109060800”,如再次出现一个应用为“和平区个税计数器”,命名为“hpqgsjsq202109061800”。6.5底部统一标识接入应用应在所有页面底部注明“本服务由某某单位提供，联系方式为022-XXXXXXXX”。6.6图形验证码使用接入应用涉及到表单提交时，应加入验证码，遵循以下技术要求

22、：a)验证码在设计上要考虑到相关安全因素，如增加背景干扰元素，防止被轻易破解；b)验证码在一次使用后应立即失效，新的请求须重新生成验证码，防止验证码多次有效。6.7表单输入校验接入应用应使用服务端代码对输入数据进行校验。客户端校验仅作为辅助手段，减少客户端和服务端的信息交互次数。如发现数据不合法，应告知用户输入非法并且建议用户纠正输入，防止SQL注入、XSS攻击等恶意行为。6.8数据缓存接入应用应使用数据缓存技术应对高访问量、高并发，包括但不限于客户端缓存、服务端缓存、数据库缓存等，客户端缓存数据仍需通过脱敏（同6.3.4）处理。DB12/T 11992023116.9应用程序目录接入应用以应

23、用压缩包的应用英文名称为根目录，和平区中考查询命名见示例。示例：hpqzkcx css#样式层images#图片层 js#逻辑层 html#视图层 config.js#全局配置文件 index.html#服务应用首页DB12/T 1199202312AA附录A（规范性）政务服务应用接入申请说明政务服务应用接入申请表见图A.1。政务服务应用接入申请表功能名称接入单位名称天津市*局*部门接入单位联系人联系电话电子邮箱（邮箱尽可能使用官方域名邮箱）开发（技术）负责人联系电话（手机号码）是否需要用户对接需要不需要应用展现渠道APP微信小程序支付宝小程序预计接入时间202*年*月*日备注1 应用提供单位

24、需保证接入的功能可正常使用；2 功能首页面需增加服务提供单位和服务支持电话信息，保证用户在使用过程中如遇到问题时，可及时给予技术支持；3 第三方应用应遵守国家相关法律法规要求，如有违法行为，第三方应用提供单位需承担相应的法律责任。4 第三方应用提供单位在“津心办”内部调用的功能、链接不得在“津心办”以外的其它场景（应用）中使用。盖章部门名称202*年*月*日图 A.1 接入单位提交政务服务应用接入申请DB12/T 1199202313参考文献1 GB/T 34975-2017信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法2 GB/T 22239-2019信息安全技术 网络安全等级保护基本要求3 GB/T 38556-2020信息安全技术 动态口令密码应用技术规范4 GB/T 39044-2020政务服务平台接入规范5 GB/T 39047-2020政务服务平台基本功能规范