解决风控数据“最后一公里”的传输难题
在开发贷超导流页、信用卡申请 H5 或消费分期小程序时,前端面临着巨大的挑战:业务需要实时展示用户的信用评估状态(如“审核中”、“极速放款”或“暂不符合”),但直接将包含数百个敏感指标的天远多头借贷行业风险版数据暴露给前端是非常危险的。此外,API 返回的List<RiskItem>结构虽然灵活,但对于前端 UI 渲染(如仪表盘、进度条)并不友好。
通过Node.js搭建一个轻量级的 BFF 层,我们可以完美解决这些问题。Node.js 不仅负责处理 AES 加密通信,保护Access Key不泄露,还能充当“数据适配器”,将天远 API 返回的41001(通用分)、17001(逾期数)等晦涩代码,转换为前端易读的 JSON 对象,从而实现业务逻辑与 UI 展现的解耦。
Node.js 中间件集成实战
本节演示如何使用 Node.js(Express/Koa 风格)构建一个安全的代理服务。该服务实现了对天远多头借贷行业风险版接口的加密调用,并内置了数据清洗逻辑。
开发环境配置
- 运行环境: Node.js (v14+)
- 依赖库:
axios(HTTP请求),crypto(原生加密模块) - 接口地址:
https://api.tianyuanapi.com/api/v1/DWBG7F3A
核心代码实现
JavaScript
const axios = require('axios'); const crypto = require('crypto'); // 环境变量配置 const CONFIG = { apiUrl: 'https://api.tianyuanapi.com/api/v1/DWBG7F3A', accessId: process.env.TIANYUAN_ACCESS_ID || 'YOUR_ACCESS_ID', accessKey: process.env.TIANYUAN_ACCESS_KEY || 'YOUR_ACCESS_KEY_HEX' // 16进制字符串 }; /** * 核心加密函数:AES-128-CBC + PKCS7 + Random IV + Base64 */ function encryptData(payload, keyHex) { const key = Buffer.from(keyHex, 'utf8'); // 确保Key编码一致 const iv = crypto.randomBytes(16); // 生成随机16字节IV const plaintext = JSON.stringify(payload); const cipher = crypto.createCipheriv('aes-128-cbc', key, iv); let encrypted = cipher.update(plaintext, 'utf8'); encrypted = Buffer.concat([encrypted, cipher.final()]); // 拼接 IV + 密文 -> Base64 const combined = Buffer.concat([iv, encrypted]); return combined.toString('base64'); } /** * 核心解密函数 */ function decryptData(encryptedBase64, keyHex) { const key = Buffer.from(keyHex, 'utf8'); const combined = Buffer.from(encryptedBase64, 'base64'); const iv = combined.slice(0, 16); const ciphertext = combined.slice(16); const decipher = crypto.createDecipheriv('aes-128-cbc', key, iv); let decrypted = decipher.update(ciphertext); decrypted = Buffer.concat([decrypted, decipher.final()]); return JSON.parse(decrypted.toString('utf8')); } /** * 数据适配器:将 API 的 List 结构转换为前端友好的 Map * 示例:[{"riskCode": "41001", "riskCodeValue": "50"}] -> { generalScore: 50 } */ function transformRiskData(rawReport) { if (!rawReport || !Array.isArray(rawReport)) return {}; // 定义前端关注的字段映射 const fieldMap = { '41001': 'generalScore', // 通用分 '41002': 'shortTermScore', // 短周期分 '17001': 'overdueCount7d', // 7天逾期平台数 '31006': 'fraudRiskLevel' // 欺诈风险等级 }; const result = {}; rawReport.forEach(item => { const key = fieldMap[item.riskCode]; if (key) { // 尝试转换为数字,方便前端计算 result[key] = isNaN(Number(item.riskCodeValue)) ? item.riskCodeValue : Number(item.riskCodeValue); } }); return result; } /** * 业务服务:获取清洗后的风险数据 */ async function getRiskProfileForFrontend(userParams) { try { // 1. 构造并加密请求 const payload = { name: userParams.name, id_card: userParams.idCard, mobile_no: userParams.mobile }; const encryptedData = encryptData(payload, CONFIG.accessKey); // 2. 发起请求 const timestamp = Date.now(); const response = await axios.post( `${CONFIG.apiUrl}?t=${timestamp}`, { data: encryptedData }, { headers: { 'Access-Id': CONFIG.accessId }, timeout: 8000 // 8秒超时 } ); const resBody = response.data; // 3. 处理响应与清洗数据 if (resBody.code === 0) { const rawData = decryptData(resBody.data, CONFIG.accessKey); // 提取核心报告列表 const reportList = rawData['riskInfo_report_v3.1']; // // 返回清洗后的数据给前端 return { status: 'success', data: transformRiskData(reportList) }; } else { console.warn(`API Error: ${resBody.code}`); return { status: 'error', message: 'Risk check failed' }; } } catch (error) { console.error('System Error:', error.message); throw error; } } // 模拟 Controller 调用 getRiskProfileForFrontend({ name: '赵六', idCard: '4401011990xxxx', mobile: '1380000xxxx' }).then(console.log);数据结构的前端映射策略
API 返回的原始数据是基于RiskCode的列表,这对于后端存储很方便,但对于前端渲染组件(如 Vue/React 组件)则显得繁琐。BFF 层应承担起“翻译”的职责。
以下是核心字段的映射建议表:
| 原始 RiskCode | 原始含义 | 转换后的前端字段 | 前端 UI 组件建议 | 业务逻辑 (Developer Notes) |
|---|---|---|---|---|
41001 | 多头申请通用分 | creditScore | 仪表盘 (Gauge) | 0-100分。若分数 > 80,UI 可显示红色预警图标,提示“综合评分过低”。 |
41002 | 短周期多头子分 | urgentIndex | 趋势图 (Trend) | 若此值显著高于41003(长周期分),说明用户近期急需用钱,前端可引导推荐“小额极速贷”产品。 |
17001 | 1周内逾期平台数 | hasOverdue | 弹窗警告 (Alert) | 只要值 > 0,前端应通过 BFF 逻辑直接屏蔽借款按钮,显示“暂不满足申请条件”。 |
31006 | 疑似准入风险 | securityLevel | 徽章 (Badge) | 值为 1/2/3。若为 3 (高风险),前端可触发人脸识别强校验流程。 |
场景化应用:BFF 层的智能路由
利用 Node.js 的灵活性,我们可以在 BFF 层实现比单纯数据转发更高级的功能:
动态 A/B Testing
在新品上线阶段,根据 41004 (非银行多头子分) 将用户分流。
- 策略:对于非银分较低(借贷习惯良好)的用户,BFF 层返回
flag: 'A',前端展示“大额低息”的新品落地页;对于分数较高的用户,返回flag: 'B',展示传统的风控兜底页。
- 策略:对于非银分较低(借贷习惯良好)的用户,BFF 层返回
表单的渐进式披露
为了提高转化率,不需要所有用户都填写复杂的补充信息。
- 策略:用户输入三要素后,Node.js 静默调用 API。若
41001(通用分) 极好,直接跳过“上传工作证明”步骤;若分数处于临界值,服务端下发指令要求前端动态加载“补充资料”表单组件。
- 策略:用户输入三要素后,Node.js 静默调用 API。若
无感知的黑产拦截
当 21007 (圈团1浓度分) 较高时,说明可能是黑产团伙攻击。
- 策略:BFF 层不直接报错(避免打草惊蛇),而是返回一个虚假的“排队中”状态,同时在后台触发安全告警,将该 IP 和设备指纹加入黑名单。
结语
通过 Node.js 集成天远多头借贷行业风险版API,我们不仅保护了数据安全,更通过 BFF 层实现了风控逻辑的前置化与轻量化。这种架构模式使得前端工程师可以专注于交互体验,而将复杂的加密、清洗和策略判断逻辑封装在中间层,极大地提升了开发效率和系统的可维护性。
