GH GambleHub

API Gateway-də Plugins və Middleware

1) Niyə plugin və middleware lazımdır

API-şlyuz - korporativ siyasətlərin icra nöqtəsi. Düzgün yığılmış plugin zənciri:
  • təhlükəsizliyi standartlaşdırır (authN/authZ, WAF, CORS),
  • dayanıqlığı qoruyur (rate limit, circuit breaker, retry-policies),
  • müqaviləni idarə edir (sxemlərin validasiyası, transformasiya),
  • müşahidə edir (metriklər, loglar, izlər),
  • xərcləri azaldır (caching, deduplication, kanarya qaydaları).

Açar: minimum gizlilik və dəqiq tətbiq ardıcıllığı.

2) Plugin sinifləri və nə edirlər

1. İdentifikasiya/identifikasiya

JWT/JWKS provayderləri, OAuth2/OIDC, API açarları, mTLS (client cert).
HMAC imzaları (webhucks/partners), kənarda DPoP/PoP.

2. Avtorizasiya

RBAC/ABAC/OPA/Cedar (PDP) yerli həll cache ilə.
BOLA-guard: başlıqlarda/kontekstdə 'tenant '/' owner' yoxlamaq.

3. Şəbəkə və protokol qorunmaları

WAF (OWASP CRS), antibot (rate/behavioral), Geo/IP/ASN filtrləri, TLS profilləri.
CORS, CSP başlıqları, Fetch-Metadata filtrləri, CORP/COOP/COEP.

4. Dayanıqlıq

Rate limiting (token bucket/GCRA), kvotalar və rəqabət.
Circuit breaker, taymaut, adaptive concurrency, load shedding.
Retry-policy per-try timeout və jitter ilə.

5. Transformasiya və validasiya

Yolların/başlıqların siyahıyaalınması, body-rewrite, JSON/XML, gRPC, HTTP.
Sxemlərin validasiyası (OpenAPI/JSON Schema/Protobuf), ID normallaşdırılması.

6. Caching və Performance

Response/fragment cache, ETag/If-None-Match, kompres, brotli.
Eyni açarlar üçün request collapsing (coalescing).

7. Müşahidə və audit

RED/USE metrikləri, loqinq həlləri (429/403/5xx), izləmə (W3C Trace-Context/OpenTelemetry), sampling (tail/adaptive).
Təhlükəsizlik başlıqlarının və siyasət versiyalarının auditi.

8. Həyat dövrü və istismar

Canary/blue-green, feature-flags, shadow-solutions (loging, tətbiq deyil), miqrasiya versiyası.

3) Tətbiq qaydası (tövsiyə olunan zəncir)


[Ingress TLS]
→ Early-Deny (ASN/Geo, IP allow/deny)
→ mTLS / Client Cert Auth
→ JWT/OAuth2 AuthN (JWKS cache)
→ OPA/ABAC AuthZ (solution cache)
→ Rate Limit / Concurrency
→ Circuit / Timeout / Retries (пер-try)
→ Schema Validation (request)
→ Transform (headers/path/body) / CORS
→ Caching (lookup)
→ Upstream Proxy (app)
← Caching (store) / Compression
← Response Transform / Schema Validation (response)
← Logging / Tracing / Metrics / Security Headers

Prinsip: əvvəllər - daha ucuz/ölümcül (deny, auth, limitlər), sonra - «kosmetika» (transformasiyalar, cache).

4) Performans və kardinallıq

İsti yolda xarici tələblər olmadan O (1) addımlarına yapışın.
Bütün «xarici zənglər» plugin (PDP/JWKS) - qısa TTL və asynchronous refresh vasitəsilə.
Metriklər üçün etiketlər/etiketlər - məhdud kardinallıq ('tenant', 'plan', 'route', lakin 'user _ id' deyil).
«Ağır» plugins (WAF, body-transform) - seçici per-route daxil.

5) Konfiqurasiya nümunələri

5. 1 Envoy: JWT + RateLimit + OPA + Retries (psevdo)

yaml static_resources:
listeners:
- name: public_listener filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
route_config:
name: main virtual_hosts:
- name: api domains: ["api. example. com"]
routes:
- match: { prefix: "/v1/payments" }
route:
cluster: payments timeout: 350ms retry_policy:
retry_on: connect-failure,reset,5xx,gateways num_retries: 1 per_try_timeout: 200ms http_filters:
- name: envoy. filters. http. jwt_authn typed_config:
providers:
oidc:
issuer: https://auth. example. com/
remote_jwks:
http_uri: { uri: https://auth. example. com/.well-known/jwks. json, cluster: jwks, timeout: 2s }
cache_duration: 300s forward: true
- name: envoy. filters. http. ext_authz  # OPA/Cedar PDP typed_config:
http_service:
server_uri: { uri: http://opa:8181, cluster: opa, timeout: 50ms }
authorization_request: { allowed_headers: { patterns: [{ exact: "authorization" }, { exact: "x-tenant" }] } }
- name: envoy. filters. http. ratelimit typed_config:
domain: public-api rate_limit_service:
grpc_service: { envoy_grpc: { cluster_name: rl } }
- name: envoy. filters. http. router

5. 2 NGINX/OpenResty: HMAC + Lua + Redis (psevdo)

nginx lua_shared_dict jwks 10m;
lua_shared_dict limits 10m;

server {
listen 443 ssl http2;

Early deny by ASN/Geo if ($bad_asn) { return 403; }

HMAC signature check (webhooks/partners)
set_by_lua_block $sig_ok {
return verify_hmac_signature(ngx. var. http_x_signature, ngx. var. request_time, ngx. var. request_body)
}
if ($sig_ok = 0) { return 401; }

Token bucket in Redis access_by_lua_block {
local key = ngx. var. binary_remote_addr.. ":".. ngx. var. request_uri local allowed, retry_after = ratelimit_allow(key, 50, 100)
if not allowed then ngx. header["Retry-After"] = retry_after return ngx. exit(429)
end
}

proxy_read_timeout 300ms;
proxy_connect_timeout 100ms;
proxy_pass http://app_backend;
}

5. 3 Kong: marşrut plugins

yaml services:
- name: payments url: http://payments:8080 routes:
- service: payments paths: ["/v1/payments"]
plugins:
- name: jwt config: { key_claim_name: kid, secret_is_base64: false, run_on_preflight: false }
- name: opa config: { server_url: "http://opa:8181/v1/data/authz/allow", timeout: 50 }
- name: rate-limiting config: { second: 50, policy: redis, redis_host: redis, fault_tolerant: true }
- name: correlation-id config: { header_name: "traceparent" }
- name: response-transformer config: { add: { headers: ["Strict-Transport-Security:max-age=31536000"] } }

5. 4 Apache APISIX: JWT + Limit + Proxy-Mirror (shadow)

yaml routes:
- uri: /v1/wallets/
plugins:
openid-connect:
client_id: wallet discovery: "https://auth. example. com/.well-known/openid-configuration"
scope: "openid"
limit-count:
count: 100 time_window: 60 key_type: "var"
key: "remote_addr"
proxy-mirror:          # shadow traffic host: "http://shadow-backend:8080"
upstream_id: 1

5. 5 Traefik: Middleware zəncir

yaml http:
middlewares:
hsts-headers:
headers:
stsSeconds: 31536000 stsIncludeSubdomains: true ratelimit:
rateLimit:
average: 50 burst: 100 routers:
api:
rule: "Host(`api. example. com`) && PathPrefix(`/v1`)"
service: app middlewares:
- hsts-headers
- ratelimit

6) Çox icarə və siyasətçi versiyaları

Marşrutlaşdırma açarı: '{tenant, plan, region, route, version}'.
Plugins mTLS SAN/JWT-damğasından/başlığından 'tenant' oxuyur → per-tenant limitləri/kvotaları/qaydaları tətbiq edir.
Siyasətləri versiya edin ('policy _ version'), changelog və kanarya rollout edin.

7) Test və rollout

Buraxılışa qədər

Müqaviləli zəncir testləri (cədvəl «əgər varsa»): auth → deny, auth → allow, rate → 429, schema → 422.
Yük: × 10 burstlar, uzun platolar, «çirkli» nümunələr (slow-POST).
Chaos: PDP/JWKS/Redis deqradasiya - minimum təhlükəsiz fail-closed/deqradasiya olmalıdır.

Release

'Report-Only '/shadow-mode (tətbiqsiz həlləri loglaşdırırıq).
Canary 1-5% trafik + metrik müqayisə (p95/p99, 4xx/5xx/429).
SLO/alert avtomatik rollback.

8) Müşahidə və metrika

Metriklər:
  • `http_requests_total{route,tenant,plan,status}`
  • `request_duration_seconds_bucket{route}` (p95/p99)
  • `rate_limited_total{policy}`, `retry_total{reason}`, `circuit_state`
  • `authn_fail_total{reason}`, `authz_denied_total{action}`
  • `schema_validation_fail_total{route}`
  • Treys: span per-filter, atributlar 'policy _ version', 'tenant', 'limit _ key'.
  • Logi (sample): səbəbləri və 'trace _ id' ilə deny/429/5xx həlləri.
  • Dashboard: Exec-xülasə, per-route, per-tenant, «isti» siyasətlər.

9) Təhlükəsizlik və əməliyyat

Bütün sirlər (HMAC, JWKS private, API-açarları) KMS/Vault-da, -fayllarda deyil.
Həssas marşrutlar üçün deny-by-default siyasəti.
Qısa TTL JWKS/PDP cache, backoff ilə asenxron yeniləmələr.
Transformasiya sxemlərinin miqrasiyası - versioned; «sındırıcı» - dual-write vasitəsilə.
body-size (DoS) və JSON dərinliyini məhdudlaşdırın.

10) Antipattern

Hər marşrutda universal «hər şey daxil» plugin dəsti → əlavə millisaniyələr və hesablar.
Cache/Taymaut olmadan xarici plugin asılılığı → kaskad Taymaut.
Filtr prosedurunun olmaması: əvvəlcə transformasiya/məntiq, sonra limitlər düzgün deyil.
Metrik etiketlərin yüksək kardinallığı (raw 'user _ id '/' ip').
Transformasiya şablonlarında authN/authZ qarışdırılması (Lua/Jinja gizli həllər).
Sirlərin/tokenlərin loqosu.
Bütün limitlər üçün bir qlobal Redis/klaster.

11) iGaming/Maliyyə Xüsusiyyətləri

Per-tenant/per-yurisdiksiya qaydaları: KYC/AML, sanksiyalar, məsuliyyətli ödənişlərin limitləri.
Ödəniş marşrutları üçün sərt siyasətlər: qısa vaxtlar, bir təkrarlama, idempotentlik ('Idempotency-Key').
PSP/KYC SDK üçün perimetrlərin ayrılması (fərdi domenlər/plugin zəncirləri).
Dəyişməz qərar log auditi (nəticələr, bloklama, sanksiya rədd).

12) Prod hazırlıq yoxlama siyahısı

  • Filtr qaydası müəyyən edilmişdir: authN → authZ → limits → circuit/timeout → schema → transform → cache.
  • Per-marşrut plugin dəsti; ağır - yalnız lazım olan yerdə.
  • JWKS/PDP qısa TTL və cache ilə; taymaut və fallback strategiyaları.
  • Rate/Quota/Concurrency - Anahtarlar dizayn, Anbarlar.
  • RED/USE metrik dəsti, OTel izi, sampling tail/adaptive.
  • Canary + shadow rejimi, SLO auto-rollback.
  • KMS/Vault sirləri; konfiqlər - versiyalaşdırıla bilən, miqrasiyalı.
  • Body/headers limitləri; oversize/slow-POST qorunması.
  • Müştəri sənədləri: 401/403/409/422/429/5xx, 'Retry-After' kodları, başlıq nümunələri.

13) TL; DR

«Erkən uğursuzluq → autentifikasiya/avtorizasiya → limitlər/sabitlik → validasiya → transformasiya/cache → telemetriya» zəncirini qurun. Yalnız istədiyiniz per-route pluginlərini daxil edin, xarici həlləri (JWKS/PDP) önbellək edin, taymaut və retry siyasətlərini təyin edin, metriklərin kardinallığını idarə edin. shadow/canary ilə azad edin, KMS/Vault-da sirləri saxlayın və p95/p99-da hər bir pluginin təsirini ölçün.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.