wujie在第三方SDK开发中的应用实践
背景
业务介绍
目前作者所开发的项目都涉及对外以 SDK 的形式嵌入到用户系统中,在保证 SDK 不影响用户环境 的同时还要保证 SDK 的整个接入流程必须是 简单可靠的,尽量的降低用户的接入成本,但是实现情况是是:
- SDK 经过 webpack 构建出 umd 格式的产物,产物中会包含 React、antd、mobx 等依赖,直接运行在用户环境会对用户环境造成污染。
- 客户的系统技术差、老旧、存在许多全局污染,会影响 SDK 的正常工作,同时我们也很难推动用户系统进行改造。
因此将 SDK 运行在一个与用户系统隔离的沙箱中是有必要的,这既能保证 SDK 有一个独立且纯净的运行环境,也能防止 SDK 污染用户环境。、
需求场景概述
-
SDK 数据导出
例如 文档标注工具SDK,图片编辑器 SDK,用户希望 SDK 能够将处理好的结果数据直接进行导出,由用户自行做进一步的处理。在传统的 iframe 方案中都需要借助浏览器的 postMessage 进行属于的传递。
-
SDK 鉴权
SDK 交付的另一痛点就是缺少鉴权机制,对于一些对系统安全性要高的客户来说,他们不希望 SDK 能够直接被访问,这就要求 SDK 需要去对接用户的权限管理机制。
第三方javascript概念介绍
SDK通常被称为"第三方javascript"。相较于微前端所强调的能够集成各方模块组成系统, 第三方javascript强调的是如何将已有功能快速无缝集成入客户已存在的系统中,且彼此无冲突。
整体集成入客户系统中的功能既包括前端视图也包含后端服务, 二者需要配合实现整体业务功能, 嵌入用户系统的SDK整体看更像是一个“微系统”。
常见的第三方javascript应用包括
- 百度统计 -- 寄宿于客户站点内运行, 不包含图形界面
- 百度爱番番 -- 沟通窗口、留言板等功能寄宿于客户站点内运行, 包含图形界面, 更复杂
第三方SDK开发之殇
需要考虑依赖使用
开发运行于第三方的SDK时, 需要考虑SDK本身的依赖与宿主环境的依赖是否存在冲突。
举例来说, 假如SDK使用了React, 那么就需要考虑宿主环境的React的版本, 如果与宿主环境React冲突或者重叠都将带来Bug, 其他依赖亦然。这给SDK开发者带来了极大的设计负担。
在过去,社区SDK常采取zero dependency策略, 但是对于一些包含复杂功能的SDK而言, 不使用任何依赖基本不现实。
易产生环境冲突
SDK寄宿于第三方运行环境。第三方环境未知性强。部分甲方系统存在质量低劣情况, 如全局调整div样式。
div {
box-sizing: border-box
}
运行与第三方环境的SDK常常会受到宿主影响, 虽自身代码规范无误, 但因受到宿主环境干扰而导致无法正常使用的例子也较为常见。
难以要求使用方做修改适配
此问题对于一些交付目标客群为金融场景的项目中表现尤为突出, 如国有银行, 具备极强的甲方色彩。
基于此场景, 实际交互过程中较难要求客户对于已有系统进行过多改造以适配SDK集成。这更进一步要求SDK能够开箱即用、接入成本低。
沙箱需要具备的能力
环境隔离
环境隔离包括 js 隔离和 css 隔离,避免和宿主环境出现如全局变量冲突、样式冲突,这些冲突可能会导致应用样式异常,甚至功能不可用。
通信
基于用户的实际场景,沙箱需要提供一套完整的通信系统,宿主环境通过调用沙箱暴露出去的 API 和沙箱进行双向通信。
便捷
沙箱除了具备环境隔离和通信功能以外,还需要考虑用户的接入成本,大部分的第三方客户比较青睐 iframe 这种接入方式,因为这种方式最简单、学习成本低,所以我们提供的沙箱在使用方式上需要尽可能的向 iframe 靠拢。
为什么选择wujie
wujie定义
无界微前端是一款基于 Web Components + iframe 微前端框架,具备接入成本低、应用隔离、速度快等一系列优点,内部提供了一套开箱即用的安全沙箱机制,更多具体特性可查看文档。
相较于iframe的优势
在过去, 一些项目在面对包含复杂视图层功能的SDK的需求时, 为了避免与宿主环境产生依赖及运行时的冲突,使用了iframe方案开发。即在集成方页面创建一个iframe, 加载包含视图层功能的页面, 以实现将视图层功能嵌入至宿主环境局部。
iframe方案存在诸多问题。 对此, 国内微前端框架qiankun产出过一篇文档 — Why Not Iframe 文章对于iframe的问题做了讲解。
而基于wujie做第三方SDK开发,能够杜绝使用iframe遇到的问题,如dom割裂严重,弹窗只能在iframe内部展示,无法覆盖全局等。同时具备更优质的通信能力
- 启动程序时为SDK注入参数
startApp({
props: {
param1: 'xxx',
param2: 'yyy'
}
});
- 运行时双向通信
wujie提供了事件总线模块, 基于此能够快速实现运行时双向通信,在此不赘述。
相较于qiankun沙箱的优势
qiankun 是阿里开源的一款微前端框架,和wujie一样他们也实现了一套自己的沙箱机制,用于 css 和 js 隔离,相比于wujie它的不足点如下:
-
适配成本高
用户需要按照qiankun的要求对工程化、生命周期、静态资源路径、路由等做一系列的适配工作,接入成本高。
-
沙箱机制不成熟
qiankun 沙箱在处理 css 隔离上还存在诸多问题,比如挂载到 ducument.body 的组件样式无法生效 、无法适配 React<17 的事件系统、无法配合 styled-components 使用等,
-
不成熟的通信机制
qiankun 提供了一套自己的通信机制,但是这种机制并不完善,这里不过多赘述了,官方准备在 v3 版本中废弃这套机制。
qiankun 所暴露出来的不足在 wujie 中都得到了很好的解决。
使用方式
流程
研发侧
- 提供 SDK 打包产物
wujie 采用的是 html-entry 的方式去加载子应用,所以 SDK 构建的产物必须是一个包含 html 文件的完整项目,例如下面例子:
-
提供 SDK 接入工具
SDK 接入工具需要遵守两个原则:
-
能够适配用户所有框架的项目(React、Vue、Angular、无框架)
-
不需要进行依赖管控
wujie 为每个框架都提供了相应的快速接入子应用的工具,例如 wujie-vue2、wujie-vue2、wujie-react,但这种接入工具需要对用户的依赖环境有要求,比如说 wujie-react。
{ "name": "wujie-react", "version": "1.0.17", "description": "无界微前端React组件封装", "main": "./lib/index.js", "module": "./esm/index.js", // ... "peerDependencies": { "react": ">=16.0.0" //要求react版本一定要大于react }, // ... }他要求用户环境的 react 版本必须要大于等于 16,这对于客户的一些老项目来说是不现实的。
基于这两条原则,我们将采用 wujie 提供的原生启动子项目的方案,下面是基于该方案的上层封装,最终的构建产物以 IIFE 的形式运行在用户的环境,将 SDK 接入工具挂载到 window 对象上:
1、安装wujie
npm install wujie -S2、封装接入工具
import { startApp, bus , EventBus} from "wujie"; const sdkSandbox = { startApp({name: sting, url: string, container: HTMLElement}): void; bus: EventBus; }; // 给用户提供启动 SDK 的方法 sdkSandbox.startApp = function({name, url, container}) { startApp({ name, url, el: container, sync: true }); } // 为用户提供bus通信工具 sdkSandbox.bus = bus; // 将sdkSandbox挂载到用户环境的window对象中 window.sdkSandbox = sdkSandbox;3、产出 umd 格式的产物
-
用户侧
- 引入 SDK 接入工具
在 html 文件中通过 script 标签从用户服务器上拉取 sdk 接入工具,在 window 对象上完成 sdk 接入方法的挂载。
<!doctype html>
<html ang="en" translate="no">
<head>
<meta charset="UTF-8">
<meta name="viewport"
content="width=device-width,initial-scale=1,maximum-scale=1,minimum-scale=1,user-scalable=no,viewport-fit=cover">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<link rel="shortcut icon" href="">
// 引入sdk接入工具
<script src="/xxx/sdkRegister.js"></script>
</head>
<body>
<div id="react-app"></div>
</body>
</html>
- 渲染 SDK
下面以 React 项目为例展示 SDK 的渲染
const TextDiffPage = () => {
useEffect(() => {
window.sdkSandbox.startApp('/xxx/textdiffSdk', document.getElementById('textdiffContainer'))
// 监听事件
window.sdkSandbox.bus.$on("事件名字", function (arg1, arg2, ...) {});
return () => {
window.sdkSandbox.bus.$off("事件名字", function (arg1, arg2, ...) {});
}
})
return (
<div>
<Header />
<div id="textdiffContainer"></div>
</div>
)
}
问题和挑战
跨域请求
子应用的资源和接口的请求都在主域名发起,所以会有跨域问题,子应用必须做 CORS 设置:
app.use((req, res, next) => {
// 路径判断等等
res.set({
"Access-Control-Allow-Credentials": true,
"Access-Control-Allow-Origin": req.headers.origin || "*",
"Access-Control-Allow-Headers": "X-Requested-With,Content-Type",
"Access-Control-Allow-Methods": "PUT,POST,GET,DELETE,OPTIONS",
"Content-Type": "application/json; charset=utf-8",
});
// 其他操作
});
身份丢失
identity discontinuity(身份丢失问题)在基于 iframe 的沙箱中是一个凸现的问题。所有非简单类型(Non-primitive)在跨 iframe 传导中均存在此问题。
const globalOne = window;
let iframe = document.createElement('iframe');
document.body.appendChild(iframe);
const iframeArray = iframe.contentWindow.Array;
console.assert(iframeArray !== Array);
const list = iframeArray('a', 'b', 'c');
list instanceof Array; // false
[] instanceof iframeArray; // false
Array.isArray(list); // true
identity discontinuity(身份丢失问题)是TC39对此问题的官方命名, 上述例子也来源于TC39,身份丢失问题最大影响是阻碍应用间通信。非简单类型在通信时会出现错误判断、无法判断的问题。
cookie鉴权
wujie 的 js 沙箱是基于 iframe 实现的,即子应用的所有请求都会在 iframe 中被发起,如果此时子应用和主应用域名不同,那么子应用在发起请求时拿不到主应用的 cookie,也就无法做鉴权。目前作者准备往 idass 方向进行探索。
总结
本篇文章主要是探讨了 wujie 在 SDK 交付的场景下的一些实践,相比于传统的 iframe 来说 wujie 不仅拥有更全面的功能,而且更是一种技术趋势,但是 wujie 的沙箱机制也不是十全十美的,也存在一些暂时解决不了的问题,比如身份丢失,同时在处理 cookie 鉴权方面也没有提供好的处理方式,这些都需求开发着自己结合当前场景去探索。