اتصل OAuth2/OpenID في النواة

OIDC عبر OAuth2 هي طريقة قياسية لإثبات هوية المستخدم/العميل وإعطاء وصول قصير الأجل إلى API. في صميم المنصة، تصبح قدرة مركزية: تسجيل الدخول الفردي للعملاء والمشغلين والخدمات ؛ والحد الأدنى من الامتيازات ؛ والمخاطر القابلة للقياس ؛ الامتثال للوائح الإقليمية ولوائح الترخيص.

1) الأهداف والمبادئ

الفصل «نشر مقابل تمكين»: طرح الرمز بشكل منفصل، وتمكين الوصول مع الأعلام/السياسات.
رموز قصيرة العمر + تحديث آمن: تقليل الضرر الناجم عن التسريبات.
متعدد المستأجرين/المنطقة: توصف جميع القطع الأثرية بأنها «مستأجرة/منطقة/رخصة».
السياسات بالإضافة إلى الرموز: يتم وضع الحلول بواسطة PDP (RBAC/ABAC) و PEP على البوابة/الخدمات.
حماية الرابط: TLS1. 2 +، mTLS/DPoP إذا أمكن، CORS/CSRF صارم.
إمكانية الملاحظة والتدقيق: الرؤية بالتدفق، حسب العميل، حسب المنطقة.

2) التدفقات ومتى يتم تطبيقها

رمز الترخيص + PKCE (SPA/Mobile/Web) - افتراضي لتسجيل دخول المستخدم.
ترخيص الجهاز (وحدات التحكم/التلفزيون/CLI) - عندما لا يكون هناك متصفح.
وثائق اعتماد العميل (من آلة إلى آلة) - تكامل الخدمة بدون مستخدم.
Token Exchange (RFC 8693، OBO) - تعمل الخدمة نيابة عن المستخدم.
CIBA/Back-channel (اختياري) - دفع المصادقة دون إعادة التوجيه.

• PAR (طلبات الترخيص المدفوعة) - يتم إرسال معلمات الترخيص عبر قناة خادم آمنة.
• إذن JWT المضمون - يتم توقيع/تشفير معلمات الطلب.
• JARM - استجابة ترخيص محمية (JWT)، مقاومة للانتحال.
• RAR (طلبات التفويض الغنية) - طلبات حقوق الوصول الغنية (أذونات مفصلة).

3) الرموز والطوابع

• ID Token (OIDC) - الذي دخل (يظهر فقط للعميل/الجبهة).
• Access Token (AT) - الحق في العمل (العمر القصير).
• Refresh Token (RT) - تحديثات AT ؛ يتم تخزينها فقط في بيئة موثوقة.

• AT: 5-15 دقيقة (web/mobile)، 2-5 دقائق (خدمة إلى خدمة).
• RT: 7-30 дней (ويب/جوال) с الدوران + اكتشاف إعادة الاستخدام.
• المعرف: ≤ 5 دقائق.

json
{
"iss":"https://auth. core",
"sub":"user_42",
"aud":["wallet","catalog"],
"exp":1730388600,"iat":1730388000,
"tenant":"brand_eu","region":"EE","licence":"EE-A1",
"scp":["wallet:read","bets:place"],     // scopes
"sid ": "sess _ abcd, ""amr": [" pwd,"" webauthn"] ,//login methods
"act":{"sub":"svc. catalog" }//if OBO
}

التوقيع: ES256/EdDSA، المفاتيح العامة - في JWKS مع «طفل» والتناوب.

4) مخطط الجلسة وإخراجها

جلسة جانب الخادم для الويب (ملف تعريف الارتباط 'SameSite = Lax/Strict' و' HttpOnly 'و' Secure ').
Back-Channel Logout + Front-Channel Logout (OIDC) - الإنهاء المتزامن لجميع العملاء.
تصعيد MFA: مع إجراءات حساسة - فحص متكرر (زيادات «acr»).
الإلغاء والاستبطان: تعطيل RT/AT فورًا عن طريق الحادث.

5) أمن العملاء

شبكة الإنترنت/SPAs: رمز الترخيص + PKCE، ليس ضمنياً ؛ CORS/Content-Security-Policy.
الهاتف المحمول: متصفح النظام (AppAuth)، التحقق من السلامة (App Tatestation/DeviceCheck)، تخزين RT آمن.
سطح المكتب/CLI/التلفزيون: تدفق الجهاز ؛ تخزين RT في متاجر OS السرية.
رموز DPoP أو mTLS لربط AT بالجهاز/الاتصال.

6) الخدمة إلى الخدمة

mTLS + خدمة قصيرة JWT (aud-scoped)، تصدر STS مع KMS/HSM.
هويات أعباء العمل: SPIFFE/SPIRE.

سياسة ضيقة إلى واسعة النطاق: جمهور ونطاقات محددة بدلاً من ذلك "

7) سجل النطاق والموافقة

التسمية: "مورد: إجراء" - "محفظة: اقرأ"، "محفظة: نقل"، "رهانات: مكان"، "kyc: status. يقرأ '.

قم بتكوين رؤية وحساسية النطاقات.
يتم تجميع شاشة الموافقة من RAR/Scopes ؛ الاحتفاظ بسجل الموافقة والسماح بالتعليقات.

json
{
"type":"wallet. transfer",
"actions":["create"],
"locations":["https://api. core/wallet"],
"datatypes":["payment"],
"resources":[{"wallet_id":"w_123","currency":"EUR","amount_max":1000}]
}

8) تكامل الترخيص (PDP/PEP)

تقوم PEP على بوابة API بالتحقق من صحة AT/DPoP/mTLS، وتثري السياق (IP/ASN/المنطقة/المستأجر)، وتقدم طلبًا إلى PDP.
PDP (OPA/cedar) يطبق سياسات RBAC/ABAC/ReBAC ويعيد 'LEAT/DENY' مع التوضيح و TTL.
ذاكرة التخزين المؤقت للحل في PEP (TTL 30-120 s) مع الإعاقة حسب الحدث (تغيير الدور/القاعدة).

9) متعدد المستأجرين والمناطق

توصف جميع الرموز والدورات بأنها «مستأجر/منطقة/رخصة» ؛ يثبت PDP الامتثال للموارد.
قوائم منفصلة بنظام جوكس/المفاتيح والاستدعاء حسب المنطقة ؛ عبر المنطقة - من خلال بوابات موثوقة.
قيود الإقامة على البيانات: يجري الاستبطان/الإلغاء في منطقة المنشأ.

10) تضخيم البروتوكول

PAR + JAR + JARM - حماية معايير الترخيص والاستجابات.
Nonce/State/PKCE - لجميع العملاء العامين.
ترخيص الجهاز المدفوع (في خطر كبير).
JWT Access Tokens مع الحد الأدنى من الطوابع + خيار غير شفاف للتكامل الخارجي عبر الاستبطان.
الممارسات الشبيهة بـ FAPI: خوارزميات توقيع صارمة، متطلبات TLS/redirect_uri/PKCE.

11) الأخطاء وسياسة العودة

json
{ "error":"invalid_grant", "error_description":"refresh token reused", "error_code":"RT_REUSE" }

Критичные коды: 'غير صحيح _ طلب'، 'غير صالح _ عميل'، 'غير صالح _ منح'، 'غير صالح _ نطاق'، 'غير مصرح به _ عميل'، 'الوصول _ مرفوض'، 'مؤقتا _ غير متاح'.
حد المعدل لنقاط النهاية الحساسة ('/token '، '/introspect'، '/recoke')، التراجع الأسي.

12) قابلية الملاحظة ومراجعة الحسابات

• «auth _ code _ success _ rate», «pkce _ missing _ rate», «mfa _ challenge/fail _ rate»,
• 'token _ issuance _ p95 _ ms',' jwks _ skew _ ms', 'invalid _ token _ rate', 'rt _ reuse _ detected',
• по API: "authz _ p95 _ ms'،" deny _ rate {reason} "،" dpop _ inmatch _ rate "،" mtls _ fail _ rate ".

Логи/трейсы: «العميل _ id»، «grant _ type»، «kid'،» acr/amr «،» المستأجر/المنطقة «،» القرار «،» policy _ version «،» aud'، «scp»، «sid'،» تتبع _ id'.
مراجعة الحسابات (غير قابلة للتغيير): إصدار الرموز، وتصاعد الحقوق، وسحب الموافقات، والتناوب الرئيسي.

13) الإدارة والتناوب الرئيسيان

توقيع JWT: KMS/HSM، منشور JWKS مع «طفل».
فترة المفتاح المزدوج: يوقع IdP على جديد، ويقبل المراجعون القديم + الجديد قبل التبديل.
التناوب المنتظم وإلغاء حالات الطوارئ ؛ رصد استهلاك الأطفال.

14) كتب اللعب (كتب التشغيل)

1. تسوية مفتاح التوقيع

إلغاء «طفل» على الفور، وإصدار تقرير مراجعة حسابات جديد معطل قسريًا/جلسات.

2. الكتلة 'غير صالحة _ رمزية '/نمو 401

تحقق من عدم محاذاة الساعة، وانتهت صلاحيتها، وكسر مخبأ JWKS ؛ زيادة تحمل «الساعة _ الانحراف» مؤقتًا.

3. إعادة استخدام RT

حظر الجلسة ("sid')، وإخطار المستخدم، والمطالبة بتصعيد لتسجيل الدخول الجديد، والتحقيق.

4. انخفاض بطاقة الهوية

مكّن وضع «تفويض القراءة فقط»: حافظ على نشاط ATs حتى TTL، وقيد عمليات تسجيل الدخول الجديدة، وقياس ذاكرة التخزين المؤقت.

5. هجوم على '/رمز '

تقوية مرشحات حد المعدل/الروبوت، وتمكين mTLS/DPoP للعملاء الحساسين، ونقل RTs الباردة إلى قطاع منفصل.

15) الاختبار

العقد: اكتشاف OIDC، JWKS، تكوين مزود OpenID.
الأمن: مطلوب PKCE/nonce/state ؛ المجموعات السلبية (البدائل «إعادة توجيه _ uri»، إعادة استخدام RT).
قابلية التشغيل البيني: العملاء (الويب/الهاتف المحمول/CLI)، مناطق زمنية/مواقع مختلفة.
الفوضى: فشل PAR/JARM، تأخير JWKS، تناوب «طفل» أثناء الطيران.
E2E: تصعيد MFA، OBO (تبادل رمزي)، تسجيل الخروج (القناة الأمامية/الخلفية)، الإلغاء/التناوب.

16) أمثلة التكوين

yaml issuer: https://auth. core jwks:
rotation_days: 30 alg: ES256 tokens:
access_ttl: 10m refresh_ttl: 14d id_ttl: 5m policies:
require_pkce: true require_par: true require_jarm: true dpop_enabled: true mfa_step_up:
actions: ["wallet:transfer","payout:initiate"]
tenancy:
include_claims: ["tenant","region","licence"]
jwks_per_region: true

yaml scopes:
wallet: read: {desc: "Reading balance"}
wallet: transfer: {desc: "Transfer of funds," sensitive: true, step_up: true}
bets: place: {desc: "Betting"}
kyc:status. read: {desc: "KYC status"}
roles:
player: { allow: [bets:place] }
support: { allow: [wallet:read, kyc:status. read] }
finance: { allow: [wallet:read, wallet:transfer] }

17) قائمة مرجعية قبل البيع

• تمكين PKCE/nonce/state ؛ PAR/JAR/JARM نشطة.
• مجموعة معرفات AT/RT/TTL ؛ تمكين دوران RT + اكتشاف إعادة الاستخدام.
• DPoP أو mTLS-binding للعملاء/العمليات الحساسة.
• JWKS c 'kid' ؛ والتناوب التلقائي ورصد الاستهلاك الرئيسي.
• الموافقة/تقرير التقييم الإقليمي وسجل النطاق ؛ تعزيز إطار العمل المتعدد الأطراف للأنشطة الحساسة.
• PDP/PEP المتكامل، مخبأ حلول الإعاقة.
• الرموز تحتوي على «مستأجر/منطقة/ترخيص» ؛ الإقامة.
• إمكانية الرصد: المقاييس والسجلات والتعقب ؛ تنبيهات إلى «غير صالحة _ رمزية»، «rt _ reuse»، «jwks _ skew».
• كتب اللعب المتعلقة بالإلغاء/التناوب/الإغلاق ؛ زر خروج الطوارئ.
• تم تمرير مجموعة من الاختبارات E2E/chaos/interop على المدرجات.

استنتاج

من خلال تضمين OAuth2/OIDC كقدرة على النظام الأساسي، تحصل على تدفقات ترخيص يمكن التنبؤ بها، ورموز مدارة، وسياسات وصول موحدة، ومخاطر قابلة للقياس. ATs القصيرة المحمية بواسطة RT، تناوب المفتاح، PAR/JARM/DPoP، الموافقة، والتصعيد هي ممارسات تجعل الأمان افتراضيًا، والتطور سريعًا وغير مؤلم للفرق والشركاء.