一、比代码更难对齐的,是数据归属
技术 JV 的架构师常陷入一个幻觉:只要 REST 接口调通了,合作就跑起来了。真正导致项目翻车的,往往是数据归谁、谁能看、谁能改的灰色地带。
2024 年某车企与智驾公司的 JV 项目曾因「训练数据归属」对簿公堂——模型归双方共有,但原始路测数据只归一方,导致另一方无法独立复现模型效果。技术 JV 必须在架构层把「数据主权」写死,而不是写在合同附件里。
二、三层隔离模型
表格
层级 甲方 乙方 联合资产
原始数据 用户行为日志 传感器原始信号 —
特征层 用户画像标签 点云特征向量 联合标注数据集
模型层 — — 共同训练的预测模型
架构上,原始数据物理隔离,特征层通过联邦学习或安全多方计算交换,模型层存入双方共管的加密仓库。任何一方无法单方面导出完整模型。
三、API 契约:用代码代替口头约定
技术 JV 的接口不能「先写代码后补文档」。推荐 API-First 工作流:
双方架构师在 Swagger Editor 里对齐 OpenAPI 3.1 契约
契约入库,Git 分支保护,变更需 PR 审批
代码由契约自动生成(openapi-generator),杜绝「文档与代码两张皮」
代码实战:多租户 API 网关 + 字段级脱敏
以下是一个 Spring Cloud Gateway + 自定义过滤器 的实现,确保 JV 伙伴只能访问授权字段,且请求自动打上租户标签。
- OpenAPI 契约片段(双方签字版)
yaml
复制
jv-contract-v1.0.yaml
openapi: 3.1.0
info:
title: JV-UserProfile-API
version: "1.0.0"
x-jv-parties: [甲方, 乙方]
x-data-classification: PII-RESTRICTED
paths:
/users/{userId}/profile:
get:
x-jv-permission: [甲方:FULL, 乙方:MASKED] # 关键:乙方只能看脱敏字段
parameters:
- name: X-JV-Tenant
in: header
required: true
schema:
enum: [party-a, party-b]
responses:
200:
content:
application/json:
schema:
$ref: '#/components/schemas/UserProfile'
components:
schemas:
UserProfile:
type: object
properties:
userId: { type: string }
phone:
type: string
x-jv-masked-for: party-b # 乙方看到 138****8888
purchaseHistory:
type: array
x-jv-denied-for: party-b # 乙方完全不可见
jointCreditScore:
type: number
x-jv-shared: true # 联合计算,双方可见
2. 网关过滤器:租户校验 + 字段脱敏
java
复制
@Component
public class JvTenantFilter extends AbstractGatewayFilterFactory<JvTenantFilter.Config> {
private final ObjectMapper mapper;
private final Map<String, Set<String>> fieldPermissions; // 加载自契约 YAMLpublic JvTenantFilter() {super(Config.class);this.mapper = new ObjectMapper();// 实际应从契约解析,这里硬编码示意this.fieldPermissions = Map.of("party-b", Set.of("userId", "jointCreditScore") // 乙方白名单);
}@Override
public GatewayFilter apply(Config config) {return (exchange, chain) -> {String tenant = exchange.getRequest().getHeaders().getFirst("X-JV-Tenant");if (!Set.of("party-a", "party-b").contains(tenant)) {exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);return exchange.getResponse().setComplete();}// 打上租户标签,后续日志、审计全链路透传exchange.getAttributes().put("jv.tenant", tenant);return chain.filter(exchange).then(Mono.fromRunnable(() -> {// 响应阶段:对乙方脱敏if ("party-b".equals(tenant)) {maskResponseForPartyB(exchange);}}));};
}private void maskResponseForPartyB(ServerWebExchange exchange) {// 简化示意:实际用 JsonPath 或 Jackson 树模型遍历// phone -> 138****8888// purchaseHistory -> 直接删除节点// jointCreditScore -> 保留原始值
}public static class Config {}
}
3. 审计日志:每次 JV 数据访问留痕
java
复制
@Component
public class JvAuditLogger {
public void logAccess(String tenant, String api, Set<String> fields, String traceId) {// 写入双方共管的审计库,任何一方不可单方面删除AuditRecord record = AuditRecord.builder().timestamp(Instant.now()).tenant(tenant).apiEndpoint(api).accessedFields(fields).traceId(traceId).integrityHash(hash(record)) // 防篡改.build();// 同步写入甲方 + 乙方 两个独立存储,形成「分布式证据」primaryRepo.save(record);partnerWebhook.notify(record); // 乙方实时收到审计副本
}
}