GH GambleHub

Entwicklerportal und Zugriffstoken

1) Die Rolle des Entwicklerportals

Das Developer Portal ist ein „Front Office“ für Integratoren: Self-Service (Schlüssel, Token, Webhooks, Tarifpläne), Transparenz (Limits, Nutzung, Rechnungen), Sicherheit (Rotation, Signaturen), Integrationsgeschwindigkeit (SDK, Dokumentation, Sandbox).

Die Hauptziele sind:
  • TTI (Time-to-Integrate) auf Stunden reduzieren.
  • Geben Sie die Steuerbarkeit des Zugriffs: wer/was/wie viel/wann.
  • Reduzieren Sie die Belastung der Unterstützung durch Auto-Tools.

2) Onboarding und Konten

Anmeldung: E-Mail + 2FA/SSO (SAML/OIDC); Domain-Bestätigung (DNS-Token).
Organisationen und Teams: Rollen 'Eigentümer', 'Administrator', 'Entwickler', 'Billing', 'Sicherheit'.
Multi-Tenant: Verknüpfung von Anwendungen mit Organisationen; Datenzugriff - nach Tenant/Umgebung.
KYC/B2B (opz.) : für Enterprise - juristische Person, Vertrag, Grenzen höher.

3) Anhänge und Credencheles

Anwendungsarten: 'server-to-server', 'web', 'mobile', 'machine-to-machine', 'webhook-consumer'.

3. 1 Keys API (Server-to-Server, einfache Integrationen)

ID 'key _ id' + Geheimnis' key _ secret'(einmal sichtbar).
Bindung an Plan und Scopes-Sets.
Request Signature (HMAC) und/oder Header 'Authorization: ApiKey <key_id>:<signature>'.

3. 2 OAuth2/OIDC (empfohlen)

Zuschüsse:
  • Client-Credentials (Maschinen).
  • Authorization Code (+PKCE) (user-delegated).
  • Refresh Token (Offline-Zugriff, RT-Rotation).
  • Gerätecode (TV/Konsolen).

3. 3 mTLS (zusätzliche Ebene)

Gegenseitiges TLS auf ingress; Zertifikate werden über das Portal heruntergeladen; bindet 'cert _ fingerprint' an die Anwendung.

4) Token: Typen und Lebenszyklus

TypWo gespeichertLebensdauerDie Nutzung
Access Token (JWT/opaque)Der Kundekurz (5-60 min)Autorisieren von Anforderungen
Refresh TokenClient-Serverlang (7-90 Tage)AT-Aktualisierung, Rotation
API KeyClient-Servervor der RotationHMAC-Signatur/einfache mTLS-Authentifizierung cert
Grundsätze:
  • Kurze AT + lange RT; RT ist eine rotierende Rotation (rotate-on-use).
  • Erzwungener Rückruf (revoke) nach Schlüssel/Anwendung/Organisation.
  • Re-Ausgabe unter Beibehaltung von Scopes/Quotenbeschränkungen.

4. 1 JWT-Format (Beispiel)

json
{
"iss":"https://auth. example. com",
"sub":"app_123",
"aud":"https://api. example. com",
"exp":1730616000,
"iat":1730612400,
"scp":["wallet:read","bet:write"],
"org":"acme",
"kid":"jwks_2025_11",
"jti":"at_01HXY..."
}

Öffentliche Schlüssel werden in der JWKS veröffentlicht; Rotation durch "kid'.

4. 2 Opaque Token und Introspection

Speichern Sie im Auth-Server 'token _ store' (Redis/SQL).
Introspektion: 'aktiv', 'scope', 'exp', 'client _ id', 'org', 'tenant'.

5) Scopes, Rollen und Zugriffsrichtlinien

Scopes beschreiben Operationen ('wallet: read', 'wallet: write', 'report: read').
Rollen aggregieren Scopes ('Developer', 'Billing').
ABAC: Attribute' org', 'tenant', 'region', 'environment'.
Politiker: „Dieser Schlüssel ist nur 'eu-west-1' und 'read'“.
Step-up: Für kritische Methoden sind erweiterte Scopes oder mTLS erforderlich.

6) Quoten, Limits und Tarife

Rate limits: RPS/RPM, burst.
Kontingente: Tag/Monat, Gutschriften.
Nach Schlüssel/Anwendung/Organisation/Tenant.
Das Portal zeigt die Nutzung, die Überschriften 'X-RateLimit-' und 'X-Quota-' sowie die Overage-Prognose.
Abrechnung: Verknüpfung mit einem Plan, Methering nach Ereignissen, Rechnungen und Webhooks der Abrechnung.

7) Verwalten von Webhooks

Registrierung von Endpunkten, Geheimnissen, Versionen von Ereignissen.
Testlieferung und Wiederholung; Versuchsprotokolle (2xx/4xx/5xx).
HMAC-Signaturen („X-Signature“), „X-Webhook-Id“, Deduplizierung, respect '410'.

8) Dokumentation und SDK

OpenAPI/AsyncAPI mit Auto-Generierung des SDK.
Cookbook: Beispielabfragen, Retrays, Idempotenz, Pagination, Webhooks.
Try-it-Spielplatz (mit Sandschlüsseln).
Versionswechsel und Deprection-Seite.

9) Sandbox und Testdaten

Isolierte Umgebungen: 'sandbox', 'staging', 'production'.
Testentitäten (Spieler, Transaktionen) und Skripte (win/lose, delay, 5xx, 429).
Daten-Seeding aus dem Portal und Reset der Umgebung.

10) Sicherheit und Geheimhaltung

API Key Secrets Hash (nicht im Klartext speichern); Zeigen Sie den Schlüssel einmal.
Secret Manager (KMS/HSM) für Signatur-Token; Schlüsselrotation 'kid'.
IP allowlist, Geobeschränkungen, ASN-Filter.
2FA/SSO, Hardwareschlüssel (WebAuthn).
Schutz vor Missbrauch: CAPTCHA bei der Erstellung, Anti-Bot-Heuristik, Registrierungsgeschwindigkeit.
Protokolle ohne PII/Geheimnisse; redaction nach Vorlagen.

11) Audit und Compliance

Audit-Log: Wer hat den Schlüssel erstellt/überprüft/zurückgerufen, das Webhook geändert, den Bericht heruntergeladen.
DSGVO/DSAR: Hochladen und Löschen von Anwendungs-/Organisationsdaten.
Aufbewahrungsrichtlinien: TTL für Protokolle, Legal Hold bei Vorfällen.
Terms of Use/Fair Use und Exportbeschränkungen.

12) Verwaltung und Betrieb

Massiver Token-Rückruf für Vorfall/Kompromittierung.
Vorübergehende Aussetzung der Bewerbung (suspend) mit Ursache und Beschwerde.
Roll-Over-Schlüssel (Zwei-Schlüssel-Modus: 'aktiv/weiter').
Incident-Commm: Status-Seite, Mailings, RSS/Status-Webhooks.

13) Portal UI/UX (Schlüsselbildschirme)

Dashboard der Organisation: Verwendung/Fehler/SLO/Abrechnung.
Anwendung: Schlüssel, Token, Scopes, Limits, Webhooks, Umgebungen.
Webhook-Lieferprotokolle mit Filtern und einem Replay-Button.
Token-Konsole: Freigabe/Widerruf, Geschichte, Gründe.
Dokumentation und SDK, Quickstart, Codebeispiele (copy-paste).
Abschnitt „Deprektionen und Migrationen“.

14) Beispiele für Verträge und Config

14. 1 OpenAPI (Fragmente)

yaml paths:
/v1/apps:
post:
summary: Create app security: [{ oauth2: [admin:apps. write] }]
responses:
'201': { description: Created }
/v1/apps/{app_id}/keys:
post:
summary: Create API key (shown once)
responses:
'201': { description: Created }
/v1/oauth2/token:
post:
summary: Token endpoint (CC/AC)
responses:
'200': { description: Access token }
/v1/tokens/revoke:
post:
summary: Revoke access/refresh token responses:
'204': { description: Revoked }

14. 2 Token-Introspektion (Antwort)

json
{
"active": true,
"client_id": "app_123",
"scope": "wallet:read bet:write",
"org": "acme",
"exp": 1730616000,
"token_type": "access_token",
"jti": "at_01HXY..."
}

14. 3 Schlüsselrichtlinie (JSON)

json
{
"app_id":"app_123",
"plan":"pro-2025",
"scopes":["wallet:read","report:read"],
"limits":{"rps":50,"daily_requests":250000},
"regions":["eu-west-1"],
"ip_allow":["192. 0. 2. 0/24"]
}

15) Versionierungs- und Depotverfahren

Semantische Versionen der API ('/v1', '/v2'), Kompatibilität „hinzufügen, nicht brechen“.
Das Portal zeigt: „was veraltet“, bis zu welchem Datum, und „wie man migriert“.
Migrationsführer, Testsandbox' v2', Dual-Write/Dual-Read wo möglich.

16) Beobachtbarkeit und Berichterstattung

Verwendung → Einnahmen: Abfrage-/Kredit-/Overage-Charts.
Fehler nach Status/' error _ code', Latenzhistogramme.
SLO-Widgets: Barrierefreiheit und p95 für Schlüsselgriffe.
CSV/JSON-Export, Berichte Webhooks, Analyse-APIs.

17) Checklisten

17. 1 Sicherheit

  • 2FA/SSO, Domain/Mail-Bestätigung
  • Einmal Geheimnisse zeigen, Hashspeicherung
  • JWKS und Schlüsselrotation, 'kid'
  • mTLS (opz.) , IP allowlist, geo/ASN Filter
  • Anti-Bot/Anti-Missbrauch, Rate-Limit für die Schlüsselerzeugung
  • Audit-Log von Aktionen und Zugriffen

17. 2 DX/Onboarding

Quickstart ≤ 5 Minuten

  • SDK (TS/Py/Java/Go/.NET) mit gleicher Oberfläche
  • Spielplatz + Sandschlüssel
  • Kochbuch: Webhooks, Pagination, Retrays, Idempotenz
  • Limits/Pläne/Preisseite
  • Copy-Paste-Beispiele

17. 3 Transaktionen

  • Massen-Token-Rückruf, suspend app
  • Incident/Status-Seite + Abonnement
  • DLQ/Replay für Webhooks
  • Automatische Warnungen über die bevorstehende Ausschöpfung der Quoten
  • Monatliche Berichte und Rechnungen

18) Implementierungsplan (3 Iterationen)

Iteration 1 - MVP (2-3 Wochen):
  • Org/App-Registrierung, API-Keys, Client Credentials OAuth2, Basislimits (RPS/Kontingente), Anforderungsprotokolle und Usage-Grafiken, Dokumentation und TS/Python SDK, Sandbox.
Iteration 2 - Zuverlässigkeit und Sicherheit (3-4 Wochen):
  • JWT + JWKS, Schlüsselrotation, Refresh Token + Rotate-on-Use, Mandate- 2FA/SSO, Webhooks (Signaturen, Retries, Logging, Replay), Billing Webhooks, Berichte und Export, Rollen und ABAC.
Iteration 3 - Skalierung und Compliance (kontinuierlich):
  • mTLS, Admin-Tools (mass revoke/suspend), Deprections und Migrationen v2, SDK Java/Go/.NET, Finops Dashboards, DSGVO/DSAR, Legal Hold, Advanced Anti-Abuse.

19) Mini-FAQ

JWT oder opaque?
JWT ist praktisch ohne Anfrage an den Auth-Server (Signatur/' kid'), opaque ist einfacher zu widerrufen und verbirgt den Inhalt. Oft werden beide verwendet: extern JWT, intern - opaque mit Introspektion.

Wie lange lebt Access Token?
Kurz: 5-15 Minuten für kundenspezifisch, 15-60 Minuten für maschinell. Kompensiert durch Refresh-Mechanik.

Wie rotiere ich meine Schlüssel sicher?
Halten Sie' aktiv/weiter', veröffentlichen Sie beide in JWKS, wechseln Sie Kunden durch 'Kind', dann ziehen Sie das alte zurück.

Summe

Ein starkes Entwicklerportal steht für Self-Service, Observability und Default Security. Geben Sie klare Token-Release/Rotation/Recall-Prozesse, transparente Limits und Abrechnung, hochwertige Dokumentation und SDKs, zuverlässige Webhooks und Audits. Dann starten die Integratoren schnell und Ihre Plattform bleibt unter Last überschaubar, konform und nachhaltig.

Contact

Kontakt aufnehmen

Kontaktieren Sie uns bei Fragen oder Support.Wir helfen Ihnen jederzeit gerne!

Integration starten

Email ist erforderlich. Telegram oder WhatsApp – optional.

Ihr Name optional
Email optional
Betreff optional
Nachricht optional
Telegram optional
@
Wenn Sie Telegram angeben – antworten wir zusätzlich dort.
WhatsApp optional
Format: +Ländercode und Nummer (z. B. +49XXXXXXXXX).

Mit dem Klicken des Buttons stimmen Sie der Datenverarbeitung zu.