保险APP 集成第三方服务这件事,过去几年变了不少。早期的玩法是原生模块直接嵌进宿主------每来一家合作的健康管理公司或医疗协助服务商,就出一个 SDK,主 APP 包体越堆越大,集成、审批、回归的链路越拉越长。后面监管对金融 APP 的数据隔离要求收紧后,这种"接进来就完了"的做法基本走到尽头。
改用小程序运行时作为沙箱,让每个第三方服务商跑在独立的执行环境里,配合权限矩阵和调用审计,是工程上相对可控的解法。本文分享一下基于小程序容器的解决方案~
一、第三方服务商跑在宿主里出了什么问题
保险APP 集成第三方服务商是刚需,不是锦上添花。健康管理(体检、在线问诊、基因检测)、医疗协助(就医、挂号、陪诊)、康复养老、车后服务、法律咨询、税务规划------这些场景如果只靠保险公司自己研发,永远追不上第三方服务商的专业度和迭代速度。
特别是一些中型保险 APP,第三方服务商接入数量从 5 家到 50+ 家不等。50+ 这家是怎么来的:早期是 Native 接入,到 30 家左右时包体已经到了 80MB+。然后业务方提出新需求------希望第三方服务商像应用商店一样灵活上下架、独立迭代,Native 接入的方式做不到。
直接 Native 接入的几个具体痛点:
- 包体膨胀。Native SDK 加一个就大几 MB,接 10 家就几十 MB。
- 审批链路长。每个 SDK 都要走发版、回归、安全 review。
- 出问题难定位。一个 SDK 崩了,宿主也跟着崩;内存泄漏、CPU 占用过高都会拖垮主 APP。
- 数据隔离难。SDK 直接调宿主 API,没有清晰的权限边界,数据流到哪里没有统一记录。
- 监管检查难。监管要看"数据有没有回流到外部服务商",SDK 接入模式下这个问题的答案往往不清晰。
二、沙箱设计:让第三方代码跑在"自己的房间"里
沙箱要解决什么问题
沙箱的核心目标只有一个:第三方代码崩了、跑飞了、被影响了,波及不到宿主和其他第三方小程序。
实现这个目标,主流做法是"双 WebView + 双 JS 引擎"------宿主是主进程,每个第三方小程序跑在独立的 WebView 实例里,Android 上是 V8 引擎,iOS 上是 JSCore 引擎,进程间通过 IPC 通信,资源(CPU、内存、网络、文件)严格限制。
三层隔离
WebView 隔离 。宿主 APP 是主进程,每个第三方小程序跑在独立的 WebView 实例里------Android 上用 WebView(Chromium 内核、V8 引擎),iOS 上用 WKWebView(JSCore 引擎)。WebView 之间不共享 DOM、不共享 Cookie、不共享 localStorage。Android 上还可以开启多进程模式(manifest 里指定 process 属性),把每个小程序拆到独立子进程,进一步做崩溃隔离。
JS 引擎隔离。每个 WebView 跑独立的 JS 引擎实例------Android 上 V8、iOS 上 JSCore。JS 引擎之间不共享作用域、不共享闭包。一个第三方小程序的 JS 变量改了,另一个小程序的同名变量不受影响。
进程间通信 。WebView 内的 JS 调宿主 Native 能力,靠桥接层:Android 上是 addJavascriptInterface 或 MessageChannel,iOS 上是 WKScriptMessageHandler。所有 API 调用都过宿主这一侧的权限网关,网关检查通过后才转发到对应的 Native 实现。
WebView 隔离 + JS 引擎隔离 + 进程间通信网关,三件套加在一起形成一个"漏斗"------外层崩了内层不受影响,最内层崩了外层也感知不到。
资源限制
沙箱不只是物理隔离,还要限制资源。常见的资源限制有:
- CPU 占用:单个小程序的 CPU 占用超过宿主总 CPU 的 20%,沙箱直接熔断。
- 内存使用:单个小程序的 JS 堆内存超过 50MB,主动 GC + 降级;超过 80MB 强制重启该小程序。
- 网络请求:单个小程序的并发请求数限制在 10-20 个;每秒请求数限制在 30 个左右(项目里设的限流阈值)。
- 文件访问:每个小程序只能访问自己沙箱目录下的文件,不能跨目录、不能访问宿主目录。
- 本地存储:每个小程序有独立的 localStorage 配额(5-10MB,iOS 偏低),不能跨小程序共享。
资源限制的工程实现比物理隔离复杂------宿主要提供一个"资源监控 + 熔断"模块,实时采集每个小程序的 CPU、内存、网络数据,超阈值时触发熔断。
三、权限矩阵:宿主能力按白名单调用
权限声明
沙箱解决"物理隔离"问题,权限矩阵解决"能力调用"问题------第三方小程序能调宿主的哪些 API、能拿到哪些用户数据、能做哪些操作。
每个第三方小程序在管理平台上要做"权限声明"------上架前填一张表,列出这个小程序要用到的所有宿主能力。常见的权限项包括:
- 用户信息:用户手机号、用户实名信息、用户身份证号、用户银行卡信息
- 支付能力:发起支付、查询支付状态、退款
- 订单能力:查询用户订单、修改订单状态
- 位置能力:获取用户当前位置
- 推送能力:给用户发推送
- 文件能力:上传文件、下载文件
- 设备能力:摄像头、麦克风、通讯录
权限声明在管理平台上是"配置化"的------勾选式表单,运营或产品可以填,技术 review 一次后锁定。
白名单调用
权限声明填好后,宿主在运行时按白名单调用------第三方小程序调宿主 API 时,宿主会检查这个 API 是不是在白名单里。白名单外的调用直接拦截,触发审计告警。
白名单调用的工程实现是在宿主 API 层加一层"权限网关"------所有 API 调用先过网关,网关检查调用方 + API 名 + 权限项,三个都匹配才放行。
权限审批流
权限声明填好后不是直接生效,要走审批:
- 业务方提交权限申请,说明要哪些权限、为什么需要
- 安全团队 review,看数据敏感性、合规风险、是否违反权限最小化原则
- 隐私团队 review,看用户告知协议、隐私政策是否要更新
- 批准后,权限项在小程序下次启动时生效
权限审批的工程实现是在管理平台上加一个"权限工单"模块------业务方提交申请后,工单流转到对应 reviewer,reviewer 审批后工单关闭。
权限变更的影响评估
权限变更不是 free 的------新增一个权限项,要评估三件事:
- 数据敏感性:新权限涉及的数据敏感度有多高(手机号 < 实名 < 银行卡 < 健康数据)
- 合规风险:新权限是否需要重新走用户告知协议、是否需要重新报备监管
- 权限最小化:新权限是不是真的必要,有没有更低权限的替代方案
权限变更的工程实现是在工单模块里加一个"风险评估表"------业务方填表,reviewer 评估,评估结果归档。
上面这套权限矩阵 + 审批工单 + 变更评估的工程实现,市面上有现成产品。FinClip 的小程序管理平台是其中一种工程实现。具体看几个核心能力:
权限工单模块。第三方小程序上架前要在平台上做"权限声明"------勾选式表单,把要用到的宿主能力(用户信息、支付、订单、位置、推送、文件、设备等 7 大类、典型 30-50 个权限项)逐项勾选。提交后工单流转到安全团队、隐私团队,按数据敏感性 + 合规风险 + 权限最小化三维度评估。整个流程是配置化的------reviewer 分派、工单状态、变更追溯都开箱即用,业务方填表、一次 review 后自动锁权限变更。
版本管理与回滚。每个第三方小程序有独立版本号、发布历史、回滚入口。线上版本出现异常,运营在平台一键回滚到上一版本,10 秒内生效。灰度策略按比例、按客群、按地域、按产品类型配置,不用改代码,全部在后台完成。
热更新与 A/B test。热更新是默认行为------新版本发布后用户下次打开 APP 就拉到新代码。保险条款更新、监管口径调整这种高频变更场景里,分钟级响应是必要能力。A/B test 平台支持 UI 优化、文案赛马、页面布局、灰度发布等场景的对照实验,根据数据决策再全量放开。
数据外发审计。第三方小程序所有网络请求的 body 和 header 过一道审计,敏感数据(身份证、银行卡、健康档案)禁止外发。监管检查时,审计日志 + 平台工单记录 + 版本号追溯三件套能直接应对。
双录合规支撑。代理人展业小程序的版本号、操作日志、发布记录本身就是"销售可回溯"的事实底座------监管检查时把版本号 + 同一时间窗的双录记录拉出来比对,能直接证明"哪个版本、什么时间上线、销售了哪些产品"。这一层在 H5 模式下要自建,迁到小程序后零成本拿到。
四、调用审计:每一次 API 调用都要留痕
留什么
沙箱解决物理隔离、权限矩阵解决能力调用、调用审计解决事后追溯。这三件事配合起来,出问题时能定位到是哪个小程序、什么时间、做了什么。
每次第三方小程序调宿主 API,审计模块记录以下字段:
- 调用方:第三方小程序的 appId、版本号
- 被调方 :被调用的 API 名(如
getUserInfo) - 参数:调用参数(脱敏后)
- 时间:调用发生的精确时间(毫秒级)
- 结果:调用成功 / 失败 / 被拦截
- 用户:当前操作用户的 userId(脱敏后)
- 设备:设备型号、操作系统版本、APP 版本号
这些字段的存储量很大------一个 50+ 第三方服务商的保险 APP,每天的 API 调用量在 1000 万次级别。审计日志的存储通常用 ES(Elasticsearch)或 ClickHouse,保留 6-12 个月。
查询接口
审计日志存了之后,要给安全团队、运维团队、监管检查提供查询接口。常见查询维度:
- 按小程序查:某个第三方小程序过去 24 小时的所有 API 调用
- 按 API 查:某个宿主 API 过去 24 小时被哪些小程序调用过
- 按用户查:某个用户过去 24 小时被哪些小程序访问过(脱敏后)
- 按异常查:调用失败的、被拦截的、参数异常的记录
查询接口的工程实现是把审计日志接入可视化平台(Grafana / Kibana),让 reviewer 不用写 SQL 就能查。
异常告警
光有审计日志不够------还要有"实时告警"。常见的告警规则:
- 频次异常:某小程序的某 API 调用频次超过基线的 5 倍
- 参数异常:某 API 的调用参数里出现了黑名单关键词(如"导出全部用户")
- 结果异常:某 API 的失败率超过 10%
- 时间异常:凌晨 3 点某 API 的调用量突然飙高
整体来说,通过小程序来进行内容调用仍然是一个可行的方案,感兴趣的话可以搜索了解一下 小程序容器技术~