人社LEAF平台架构及其主要技术架构特点https://wheart.cn/so/home?m=index&id=31525d77-de79-11ed-96fa-52540016e6ac

在前面的系列文章中介绍了社会保险管理信息系统核心平台三版（以下简称核三）的技术亮点，这些技术亮点主要是由核三的技术框架——LEAF框架提供的。LEAF框架是社保核心平台二版SIEAF框架的升级版本，以J2EE技术为核心，总体分为视图层、控制逻辑层、服务层三层结构。
   1．视图层
   LEAF框架支持浏览器的客户端或任何 win32程序写成的客户端对系统的访问，这是LEAF框架提供的新功能。同时LEAF框架提供了X-ART视图组件来丰富基于浏览器客户端的交互与展现能力。
   2．控制逻辑层
   控制逻辑层主要由编码过滤器、协议识别器、安全过滤器、前端控制器、任务分发器组成。
   （1）客户端的请求首先经过编码过滤器进行编码处理，主要设定请求的编码格式，避免出现乱码现象。
   （2）协议识别器会通过请求的格式识别出客户端的类型，然后将请求统一格式化成LEAF框架可以识别的JAVA对象。协议识别器是LEAF框架提供的新功能。
   （3）安全过滤器统一处理系统的安全问题，如身份验证、权限验证、状态验证等。安全过滤器会将安全检查未通过的请求路由到登录页面，并作记录。对于多次安全检查未通过的用户，系统会做封锁处理。
   （4）前端控制器在系统初始化时会加载配置文件，对于每一次请求，前端控制器会调用任务分发器进行业务处理，业务处理完毕后，前端控制器会根据请求处理层的返回值来将请求路由到相关页面或进行XML输出。
   （5）任务分发器会根据配置文件将不同URL的请求与请求处理层的不同Action对象进行匹配，进而将相关请求分发给相应请求处理层的Action对象进行处理。
   3．服务层
服务层为系统提供日志、异常、安全、通用业务回退、数据权限、持久化等服务。
   （1）日志服务：日志服务采用了业界成熟的日志解决方案：Log4J，并且做了适当的扩充。日志服务会占用一定的系统资源，为最大限度地降低对系统性能的影响，LEAF框架利用JMS异步技术来实现日志服务，在系统繁忙时把日志信息保存到消息队列中，等到系统比较空闲时再进行日志信息的记录操作。
   （2）异常服务：异常服务是在请求处理层将系统的异常进行统一处理，统一捕获异常，并根据异常的不同类型对异常进行记录、处理、反馈。
   （3）安全服务：安全服务包括身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、软件容错等方面。
   身份鉴别：LEAF框架对用户口令复杂度及更新频度都有控制，可以通过配置要求用户必须定期更新口令。LEAF框架实现了多次登录失败时锁定用户的功能，连接超时会自动退出系统。LEAF框架支持通过增加CA安全过滤器的方式与相关的CA系统进行绑定。
   访问控制：LEAF框架可以管理用户的操作权限和数据权限，控制用户可以执行的操作和可以操作的数据。LEAF框架通过对不同的用户和角色进行授权，实现应用系统最小授权原则及不同用户之间的权限分离。
   安全审计：LEAF框架提供了系统事件日志、业务日志、操作日志、登录日志多种审计功能。
   剩余信息保护：LEAF框架将用户的鉴别信息暂存在内存中，当用户退出系统时会立即清除。
   通信完整性：LEAF框架的底层技术保证通信的完整性。
   通信保密性：LEAF框架在与第三方系统通信时，可以根据接口的不同和需要选择不同的密码算法和校验方法，一般需要在本地化开发时进行接口开发。
   软件容错：LEAF框架提供了众多业务数据有效性判断的API，有效防止了错误数据进入系统。LEAF框架还为业务操作提供“回退”功能，使用户可以方便地回退掉错误操作。LEAF框架在业务操作出错时会即时的向用户进行提示。LEAF框架会定时将运行状态信息（如定时任务）保存到数据库，可供系统排查故障时使用。
   另外，LEAF框架可以通过增加CA安全过滤器的方式与相关的CA系统进行绑定，进而实现更高强度的身份鉴别和抗抵赖等特性。
   （4）通用业务回退服务
   通用业务回退服务是LEAF框架提供的新功能。它的基本原理是在业务操作时记录数据的变化并由此建立数据库交互日志，在请求回退时，根据数据库交互日志和业务规则，将数据库中经业务操作而变化的数据恢复到业务操作前的状态。LEAF框架提供的通用业务回退服务，能够保证前台发起业务请求，应用服务进行响应，后台数据库进行跟踪记录的一系列动作的正确性、完整性、一致性和具体业务无关性，并提供了数据库交互日志记录和通用业务回退的功能开关。
   （5）数据权限服务
   数据权限服务是LEAF框架提供的新功能。LEAF框架将数据权限问题统一提升到框架一层处理，利用回调技术实现与业务层的对接，良好的实现了“一个数据中心、多统筹区”模式下的数据权限控制。
   （6）持久化服务
   即O/R Mapping服务。LEAF框架使用Hibernate框架，实现应用程序与数据库间的数据存取。
   另外，核三的LEAF框架增加了许可证管理制度。对社保前台技术支持商发放开发许可证，这种许可证对LEAF框架的使用时间做了约束，过期后可续期。对地方人力资源社会保障部门最终用户发放产品许可证，这种许可证对LEAF框架所部署服务器的IP地址做了约束，没有使用时间限制。
   总之，LEAF框架是核三的技术核心，它丰富、改良了原有社保核心平台二版的技术框架，并在此之上有所创新，是人力资源社会保障领域新一代的技术框架。