密改流程图

判断是否携带token

问题平台

方案一：全部内网系统集成到一体化平台，一体化平台实现用户的登录验证，如果可以直接使用一窗现有Ukey登录验证，如果不可以，平台实现与密码平台的用户证书认证逻辑各个系统uums参照一窗的方式进行修改，但是要确认提一体化平台是否支持登录完携带token跳转回源业务系统的前端页面，其余两个加密场景 除磴口外的其他业务系统自己实现。并且平台要实现自己数据库敏感数据的HMAC与加解密处理，磴口业务系统可以参照加密gateway修改或者直接使用，也可以自己实现密改逻辑 

共享交换

一窗UUMS

政务内网

电子证照

未携带

互联网+UUMS

替换为统一的UUMS

一体化平台

集成Gateway依赖、配置MYBATIS拦截器、解除自带的登录拦截器、重写根据token获取用户方式

加密密文字段存库

互联网

前端UKey证书认证

磴口业务系统

返回前端时调用加密平台解密

一窗系统

电子证照UUMS

区块链

互联网+

报文UUMS

Gateway加密网关

监管UUMS

目前省厅项目各系统现状

前端业务

访问页面、请求接口

地籍图

目前存在问题：由于对源代码修改较小，目前需要二次登录。鄂尔多斯表示可以接受目前方案、如果要实现完美方案，还需改造登录拦截逻辑，主要是确认各个系统前端是如何判断是否登录的比如接口返回401表示未登录，还是前端存了token

报文系统

监管

重要敏感字段调用密码平台加密

mybatis拦截器对敏感数据调用密码平台验证HMAC、加解密

共享交换UUMS

加密场景

数据库存储Ukey与用户关系

目前鄂尔多斯实现方案

重要字段（敏感字段生成hmac值）

后端与密码平台交互

携带token跳转页面

场景三  数据机密

方案三：内网保持原有系统集成到一体化平台，一体化平台实现用户的登录验证，如果可以直接使用一窗现有Ukey登录验证，如果不可以，平台实现与密码平台的用户证书认证逻辑各个系统uums替换为统一的UUMS，但是要确认提一体化平台是否支持登录完携带token跳转回源业务系统的前端页面，其余两个加密场景 除磴口外的其他业务系统自己实现。并且平台要实现自己数据库敏感数据的HMAC与加解密处理，磴口业务系统可以参照加密gateway修改或者直接使用，也可以自己实现密改逻辑

插入Ukey登录

方案一：全部系统集成到一体化平台

查询UUMS调用密码平台验证HMAC\\加解密  认证用户并放行

Gateway

场景二  重要数据保护

后端服务

方案一：全部系统集成到一体化平台并且将uums替换

配置敏感字段，配置加密平台、配置登录页面、配置UUMS数据库

方案三：保持现有集成方式

场景一  身份鉴别

方案二：全部内网系统集成到一体化平台，一体化平台实现用户的登录验证，如果可以直接使用一窗现有Ukey登录验证，如果不可以，平台实现与密码平台的用户证书认证逻辑各个系统uums全部去除，菜单用户体系字典等全部使用平台接口，但是要确认提一体化平台是否支持登录完携带token跳转回源业务系统的前端页面，其余两个加密场景 除磴口外的其他业务系统自己实现。并且平台要实现自己数据库敏感数据的HMAC与加解密处理，磴口业务系统可以参照加密gateway修改或者直接使用，也可以自己实现密改逻辑

原接口逻辑

hmac值存储数据库

重定向到自带的登录页面

前端

后端与密码平台交互验证hmac值

携带