前端视角的后端开发：彻底搞懂 AES 加密与天远风控数据解析

是 否 +2 论坛币

k人 参与回答

经管之家送您一份

应届毕业生专属福利!

求职就业群

赵安豆老师微信：zhaoandou666

经管之家联合CDA

送您一个全额奖学金名额~ !

立即领取

感谢您参与论坛问题回答

经管之家送您两个论坛币！

+2 论坛币

1. 核心数据结构解析：JS 对象的陷阱与技巧

尽管 JavaScript 在处理 JSON 数据方面表现出色，但在对接天远风控 API 返回的数据时，开发者需警惕一些常见的类型陷阱。这些细节若处理不当，可能导致逻辑判断错误或 UI 显示异常。

3.1 响应字段概览

该 API 所返回的 JSON 结构极为扁平化，非常适合使用解构赋值进行快速取值：

const { 
    reviewSuggestions, // 核心建议 A-F
    blackOrgNum,       // 黑名单机构数，如 ">3"
    loanTypes,         // 借贷偏好对象
    lastCondition      // 风险标签对象
} = result;

3.2 这里的 “Boolean” 实际是字符串类型！

这是 JS 全栈开发中最容易忽略的问题之一。

在 lastCondition 和 loanTypes 对象中，虽然字段值用 1 表示命中、0 表示未命中³，但其实际数据类型为 String，而非 Boolean 或 Number。

错误写法示例：

if (result.lastCondition.fraud) { 
    // 危险！因为 "0" (字符串) 在 JS 中也是 true！
    // 导致系统误判用户有欺诈风险
}

正确处理方式：应通过显式转换或比较字符串值来确保逻辑准确：

const isFraud = result.lastCondition.fraud === '1'; // const isSeriousOverdue = result.lastCondition.seriousOverdue === '1';

3.3 关键字段映射表

字段名	JS 类型	含义	业务逻辑建议
reviewSuggestions	String	审核建议	前端可依据字母映射颜色状态：A/B → 红色（拒绝），C/D → 黄色（警告），E → 绿色（通过）4
overdueAmt	String	逾期金额	格式如 >8000 ，建议使用正则提取数值部分 parseInt(val.match(/\d+/)[0]) 用于排序或计算
blackOrgNum	String	黑名单数	反映多头借贷风险的关键指标，数值越大代表风险越高

2. API 调用实战：原生模块的优雅实现

为了高效且安全地调用天远风控接口，推荐采用 Node.js 内建模块结合现代请求库的方式。具体而言，使用 https 模块处理加密通信，并借助

axios

发起 HTTP 请求。这种方案无需引入重型第三方加密依赖，保持项目轻量化的同时符合金融级安全标准。

2.1 环境准备

确保运行环境已安装 Node.js 并配置好相关权限：

Bash
npm install axios
# crypto 是内置模块，无需安装

2.2 完整代码实现（支持 Async/Await）

以下封装了一个通用的

RiskClient

类，内部自动处理 AES 解密过程中的 PKCS7 填充（由 Node.js

crypto

原生支持）以及 Base64 数据拼接逻辑：

JavaScript
const axios = require('axios');
const crypto = require('crypto');

class TianyuanRiskClient {
    constructor(accessId, accessKeyHex) {
        this.apiUrl = 'https://api.tianyuanapi.com/api/v1/JRZQ3P01'; // this.accessId = accessId;
        // 将16进制字符串转为 Buffer 对象，这是关键一步
        this.accessKey = Buffer.from(accessKeyHex, 'hex'); // 
    }

    /**
     * 加密流程：
     * 1. 生成随机 IV
     * 2. AES-128-CBC 加密 (默认 PKCS7 填充)
     * 3. 拼接 IV + 密文 -> Base64
     */
    encrypt(data) {
        const iv = crypto.randomBytes(16); // const cipher = crypto.createCipheriv('aes-128-cbc', this.accessKey, iv);
        
        // JSON 序列化
        const plainText = JSON.stringify(data);
        
        let encrypted = cipher.update(plainText, 'utf8');
        encrypted = Buffer.concat([encrypted, cipher.final()]);

        // 拼接 IV 和 密文
        const combined = Buffer.concat([iv, encrypted]);
        
        // 返回 Base64 字符串 return combined.toString('base64');
    }

    /**
     * 解密流程
     */
    decrypt(base64Data) {
        const buffer = Buffer.from(base64Data, 'base64');

        // 提取前 16 字节作为 IV
        const iv = buffer.slice(0, 16); // const text = buffer.slice(16);

        const decipher = crypto.createDecipheriv('aes-128-cbc', this.accessKey, iv);
        let decrypted = decipher.update(text);
        decrypted = Buffer.concat([decrypted, decipher.final()]);

        return JSON.parse(decrypted.toString());
    }

    /**
     * 核心调用方法
     */
    async queryRisk(name, idCard) {
        try {
            // 1. 准备并加密数据
            const payload = { name, id_card: idCard }; // [cite: 2]
            const encryptedData = this.encrypt(payload);

            // 2. 发起请求 (注意时间戳参数 t)
            const response = await axios.post(
                this.apiUrl, 
                { data: encryptedData }, // 请求体字段名为 data 
                {
                    headers: { 'Access-Id': this.accessId }, // params: { t: Date.now() } // 防止重放攻击
                }
            );

            const resData = response.data;

            // 3. 处理响应
            if (resData.code === 0) {
                // 成功：解密数据
                const realData = this.decrypt(resData.data);
                console.log('? 风控查询成功');
                return realData;
            } else {
                console.error(`? API 错误: ${resData.message} (Code: ${resData.code})`); // return null;
            }
        } catch (error) {
            console.error('网络请求异常:', error.message);
            return null;
        }
    }
}

// --- 调用示例 ---
(async () => {
    // ?? 生产环境请从 process.env 读取密钥
    const client = new TianyuanRiskClient(
        'YOUR_ACCESS_ID', 
        'YOUR_HEX_KEY_STRING' 
    );

    const result = await client.queryRisk('李四', '33010619850101xxxx');
    
    if (result) {
        console.log('审核建议:', result.reviewSuggestions); // console.log('详细数据:', result);
    }
})();

4. 应用价值：Serverless 与 中间件集成

基于 Node.js 的灵活性和高性能 I/O 特性，可以将上述接口封装应用于多种高价值场景，提升系统整体效率与稳定性。

4.1 场景一：构建 Serverless 云函数

可将上述逻辑部署至 AWS Lambda 或腾讯云 SCF 等无服务器平台，形成独立微服务。

优势说明：天远 API 按调用次数计费（约 ?2.5/次）⁵，配合 Serverless 的按需计费模式，可实现“零闲置成本”的风控服务——仅在用户提交贷款申请时触发费用，极大优化资源利用率。

4.2 场景二：BFF 层的数据清洗（Data Sanitization）

前端不应感知底层加密机制或 Base64 编码细节。Node.js 作为中间层，承担数据净化职责：

• 调用天远风控 API 获取原始响应；
• 使用内置

  crypto

  模块完成数据解密；
• 执行数据清洗操作：
  • 将

    "1"/"0"

    转换为

    true/false

    ；
  • 将

    reviewSuggestions: "A"

    转换为

    { status: "REJECT", message: "严重逾期" }

    ；
• 向前端输出标准化、易消费的纯净 JSON 数据。

4.3 场景三：异常熔断机制

为增强系统容错能力，建议使用

Opossum

等熔断库包裹核心的

queryRisk

方法。当因网络波动导致 API 连续超时时，服务可自动进入快速失败（Fail Fast）状态，返回预设兜底策略（例如转交人工审核），避免用户界面长时间卡顿等待。

1. 用 JavaScript 挖掘数据价值

在金融科技产品快速迭代的背景下，Node.js 凭借其非阻塞 I/O 特性和庞大的 npm 生态体系，已成为搭建 BFF（Backend for Frontend）层或 Serverless 函数的理想选择。

天远风控决策接口 (JRZQ3P01)¹ 返回标准 JSON 格式数据，天然适配 JavaScript 处理流程。然而，出于金融级安全保障，该接口采用了 AES-128-CBC 加密机制²。对于习惯“一把梭”开发模式的 JS 工程师而言，处理 Buffer 二进制流、IV 向量初始化及 Base64 编码转换可能略显复杂。

本文展示了如何仅依赖 Node.js 原生

crypto

模块（无需额外安装臃肿加密库），优雅完成接口对接，并将复杂的风控结果转化为前端可直接驱动 UI 的状态信息。

总结

Node.js 配合 天远风控 API，构成了轻量级信贷审批系统的理想技术组合。借助 Node.js 原生加密能力，能够高效打通数据链路；而 JavaScript 强大的对象操作特性，则便于将原始风控信号转化为直观的业务洞察。

最后的小贴士

• 安全：切勿将 Access Key 暴露于前端代码中！务必在后端服务或云函数内完成接口调用。
• 成本控制：接口调用并非免费⁶，开发调试阶段建议使用 Mock 数据模拟响应，防止产生不必要的调用开销。

扫码加我 拉你入群

请注明：姓名-公司-职位

以便审核进群资格，未注明则拒绝

分享0 收藏0 回帖

关键词：Suggestions Javascript suggestion condition tostring