GH GambleHub

Πύλη προγραμματιστών και μάρκες πρόσβασης

1) Ρόλος πύλης ανάπτυξης

Το Developer Portal είναι ένα «front office» για τους ενσωματωτές: αυτοεξυπηρέτηση (κλειδιά, μάρκες, webhooks, τιμολογιακά σχέδια), διαφάνεια (όρια, χρήση, τιμολόγια), ασφάλεια (εναλλαγή, υπογραφές), ταχύτητα ολοκλήρωσης (SDK, τεκμηρίωση, sandbox).

Βασικοί στόχοι:
  • Μείωση της TTI (χρόνος ολοκλήρωσης) σε ώρες.
  • Δώστε τον έλεγχο πρόσβασης: ποιος/τι/πόσο/πότε.
  • Μείωση του φορτίου υποστήριξης μέσω αυτόματων εργαλείων.

2) Επιβίβαση και λογαριασμοί

Εγγραφή: email + 2FA/SSO (SAML/OIDC) Επικύρωση τομέα (σύμβολο DNS).
Οργανώσεις και ομάδες: 'Ιδιοκτήτης', 'Admin', 'Developer', 'Billing', 'Security' ρόλοι.
Πολυπληθής: σύνδεση αιτήσεων με οργανώσεις· πρόσβαση στα δεδομένα - ανά ενοικιαστή/περιβάλλον.
(χονδρική): για τις επιχειρήσεις - νομική οντότητα, σύμβαση, όρια παραπάνω.

3) Προσαρτήματα και πιστώσεις

Τύποι εφαρμογών: 'server-to-server', 'web', 'mobile', 'machine-to-machine', 'webhook-consumer'.

3. 1 Πλήκτρα API (εξυπηρετητής προς εξυπηρετητή, απλές ενοποιήσεις)

Αναγνωριστικό 'κλειδί _ id' + μυστικό 'κλειδί _ μυστικό' (ορατό μία φορά).
Συνδετικό σε σχέδια και σύνολα πεδίων εφαρμογής.
Υπογραφή αίτησης (HMAC) και/ή 'Εξουσιοδότηση: ApiKey <key_id>:<signature>' κεφαλίδα.

3. 2 OAuth2/OIDC (συνιστάται)

Επιχορηγήσεις:
  • Εντολές πελατών (μηχανές).
  • Κωδικός έγκρισης (+ PKCE) (εξουσιοδοτημένος από τον χρήστη).
  • Ανανέωση του Token (πρόσβαση εκτός σύνδεσης, περιστροφή RT).
  • Κωδικός συσκευής (τηλεόραση/κονσόλες).

3. 3 mTLS (πρόσθετο επίπεδο)

Αμοιβαία TLS κατά την είσοδο· τα πιστοποιητικά τηλεφορτώνονται μέσω της πύλης· δέσμευση του «cert _ frame» στην αίτηση.

4) Μάρκες: τύποι και κύκλος ζωής

ΤύποςΠού αποθηκεύεταιΔιάρκεια ζωήςΧρήση
Σήμα πρόσβασης (JWT/αδιαφανές)πελάτηςσυντόμευση (5-60 λεπτά)αίτηση εξουσιοδότησης
Ανανέωση του Tokenεξυπηρετητής πελατώνδιάρκεια (7- 90 ημέρες)Αναβάθμιση AT, περιστροφή
Πλήκτρο APIεξυπηρετητής πελατώνπριν από την εναλλαγήΥπογραφή HMAC/απλή επαλήθευση ταυτότητας πιστοποιητικού mTLS
Αρχές:
  • Σύντομη AT + μακρά RT· RT - περιστροφή κατά τη χρήση.
  • Ανάκληση ανά κλειδί/εφαρμογή/οργάνωση.
  • Επανέκδοση με περιορισμούς πεδίου εφαρμογής/ποσοστώσεων.

4. 1 μορφότυπος JWT (παράδειγμα)

json
{
"iss":"https://auth. example. com",
"sub":"app_123",
"aud":"https://api. example. com",
"exp":1730616000,
"iat":1730612400,
"scp":["wallet:read","bet:write"],
"org":"acme",
"kid":"jwks_2025_11",
"jti":"at_01HXY..."
}

Τα δημόσια κλειδιά δημοσιεύονται στο JWKS. περιστροφή από «παιδί».

4. 2 Αδιαφανείς μάρκες και ενδοσκόπηση

Αποθήκευση 'token _ store' (Redis/SQL) στον εξυπηρετητή Auth.
Ενδοσκόπηση: "ενεργός", "πεδίο εφαρμογής", "exp", "πελάτης _ i ," org "," ενοικιαστής ".

5) Πεδία εφαρμογής, ρόλοι και πολιτικές πρόσβασης

Τα πεδία εφαρμογής περιγράφουν τις λειτουργίες ('πορτοφόλι: ανάγνωση', 'πορτοφόλι: γράψτε', 'αναφορά: ανάγνωση').
Οι ρόλοι συναθροίζουν τα πεδία εφαρμογής ('Developer', 'Billing').
ABAC: χαρακτηριστικά «org», «ενοικιαστής», «περιφέρεια», «περιβάλλον».
Πολιτικοί: "αυτό το κλειδί είναι μόνο 'eu-west-1' και 'read'.
Βαθμίδα: Οι κρίσιμες μέθοδοι απαιτούν εκτεταμένα πεδία εφαρμογής ή mTLS.

6) Ποσοστώσεις, όρια και δασμοί

Όρια ταχύτητας: RPS/RPM, διάρρηξη.
Ποσοστώσεις: ημέρα/μήνας, πιστώσεις.
Κατά κλειδί/εφαρμογή/οργάνωση/ενοικιαστής.
Η πύλη δείχνει τη χρήση, τις κεφαλίδες 'X- Limit-' και 'X-Ποσοστώσεις', καθώς και την πρόβλεψη υπερωριών.
Χρέωση: σύνδεση με ένα σχέδιο, μέτρηση των γεγονότων, τιμολόγια και τιμολόγια webhooks.

7) Διαχείριση Webhook

Καταχώριση τελικών σημείων, μυστικών, εκδόσεων γεγονότων.
Παράδοση δοκιμής και επανάληψη· επαναπροσδιορισμός αρχείων καταγραφής (2xx/4xx/5xx).
Υπογραφές HMAC ('X-Signature'), 'X-Webhook-Id', αφαίρεση, σεβασμός '410'.

8) Τεκμηρίωση και SDK

OpenAPI/AsyncAPI με αυτόματη δημιουργία SDK.
Βιβλίο μαγειρικής: παραδείγματα αιτήσεων, retrays, idempotence, pagination, webhooks.
Δοκιμάστε-it παιδική χαρά (με πλήκτρα άμμου).
Έκδοση Changelog και σελίδα των καταθλίψεων.

9) Αμμοκιβώτιο και δεδομένα δοκιμών

Μεμονωμένα περιβάλλοντα: 'sandbox', 'stage', 'production'.
Δοκιμαστικές οντότητες (παίκτες, συναλλαγές) και σενάρια (νίκη/απώλεια, καθυστερήσεις, 5xx, 429).
Σπορά δεδομένων από την πύλη και επαναφορά του περιβάλλοντος.

10) Ασφάλεια και αποθήκευση μυστικών

API Κλειδιά των μυστικών (μη φυλάσσετε σε σαφές κείμενο) Εμφάνιση κλειδιού μία φορά.
Μυστικός διαχειριστής (KMS/HSM) για μάρκες υπογραφής. περιστροφή κλειδιών «παιδιού».
Επιτρεπόμενος κατάλογος IP, γεωγραφικοί περιορισμοί, φίλτρα ASN.
, κλειδιά υλικού (WebAuthn).
Προστασία από την κατάχρηση: CAPTCHA κατά τη δημιουργία, αντι-bot heuristics, ταχύτητας εγγραφής.
Αρχεία καταγραφής χωρίς PII/μυστικά. ανακατανομή ανά μοτίβα.

11) Έλεγχος και συμμόρφωση

Αρχείο ελέγχου: ποιος δημιούργησε/είδε/ανακάλεσε το κλειδί, άλλαξε το webhook, κατέβασε την έκθεση.
GDPR/DSAR - λήψη και διαγραφή δεδομένων εφαρμογής/οργάνωσης.
Πολιτικές διατήρησης: TTL για αρχεία καταγραφής, νόμιμη κράτηση για περιστατικά.
Όροι χρήσης/δίκαιη χρήση και περιορισμοί εξαγωγών.

12) Διοίκηση και επιχειρήσεις

Μαζική ανάκληση σημάτων ανά περιστατικό/συμβιβασμό.
Προσωρινή αναστολή της αίτησης (αναστολή) με αιτιολογία και προσφυγή.
Ανατροπή κλειδιού (λειτουργία δύο κλειδιών: 'ενεργό/επόμενο').
Περιστατικό comm: status page, mailings, RSS/webhooks status.

13) Πύλη UI/UX (οθόνες κλειδιών)

Ταμπλό οργάνωσης: χρήση/σφάλματα/SLO/τιμολόγηση.
Εφαρμογή: κλειδιά, μάρκες, πεδία εφαρμογής, όρια, webhooks, περιβάλλοντα.
Ημερολόγια παράδοσης Webhook με φίλτρα και ένα κουμπί Replay.
Token κονσόλα: έκδοση/ανάκληση, ιστορία, λόγοι.
Τεκμηρίωση και SDK, Quickstart, δείγματα κωδικών (πάστα αντιγραφής).
Τμήμα «Αποδυνάμωση και μετανάστευση».

14) Παραδείγματα συμβάσεων και συνθέσεων

14. 1 OpenAPI (snippets)

yaml paths:
/v1/apps:
post:
summary: Create app security: [{ oauth2: [admin:apps. write] }]
responses:
'201': { description: Created }
/v1/apps/{app_id}/keys:
post:
summary: Create API key (shown once)
responses:
'201': { description: Created }
/v1/oauth2/token:
post:
summary: Token endpoint (CC/AC)
responses:
'200': { description: Access token }
/v1/tokens/revoke:
post:
summary: Revoke access/refresh token responses:
'204': { description: Revoked }

14. Ενδοσκόπηση (απάντηση)

json
{
"active": true,
"client_id": "app_123",
"scope": "wallet:read bet:write",
"org": "acme",
"exp": 1730616000,
"token_type": "access_token",
"jti": "at_01HXY..."
}

14. 3 Βασική πολιτική (JSON)

json
{
"app_id":"app_123",
"plan":"pro-2025",
"scopes":["wallet:read","report:read"],
"limits":{"rps":50,"daily_requests":250000},
"regions":["eu-west-1"],
"ip_allow":["192. 0. 2. 0/24"]
}

15) Διαδικασίες έκδοσης και μεσεγγύησης

Σημασιολογικές εκδόσεις API ('/v1 ', '/v2'), συμβατότητα add-do-not-break.
Η πύλη δείχνει: «τι γίνεται παρωχημένο», μέχρι ποια ημερομηνία, και «πώς να μεταναστεύσει».
Οδηγοί μετανάστευσης, αμμοκιβώτιο δοκιμής 'v2', διπλής γραφής/διπλής ανάγνωσης, όπου είναι δυνατόν.

16) Παρατηρησιμότητα και υποβολή εκθέσεων

Χρήση → εσόδων: χρονοδιαγράμματα αιτήσεων/πιστώσεων/επικαλύψεων.
Σφάλματα κατά κατάσταση/' error _ code ', ιστογράμματα καθυστέρησης.
Γραφικά συστατικά SLO: προσβασιμότητα και p95 για λαβές κλειδιών.
Εξαγωγή CSV/JSON, webhooks των αναφορών, API για την ανάλυση.

17) Κατάλογοι ελέγχου

17. 1 Ασφάλεια

  • 2FA/SSO, επιβεβαίωση τομέα/ταχυδρομείου
  • Εμφάνιση μυστικών μία φορά, αποθήκευση hash
  • JWKS και βασική εναλλαγή, «παιδί»
  • mTLS (ex), επιτρεπόμενη τιμή IP, φίλτρα geo/ASN
  • Αντι-bot/αντι-κατάχρηση, όριο ποσοστού για την παραγωγή κλειδιών
  • Λογιστικό μητρώο ενεργειών και προσβάσεων

17. 2 DX/Επί του σκάφους

  • Γρήγορη εκκίνηση ≤ 5 λεπτά
  • SDK (TS/Py/Java/Go/.NET) με την ίδια επιφάνεια
  • Παιδική χαρά + πλήκτρα άμμου
  • Βιβλίο μαγειρικής: Webhooks, Pagination, Retreats, Idempotence
  • Όρια/Σχέδια/Σελίδα τιμολόγησης
  • Παραδείγματα αντιγραφής

17. 3 Πράξεις

  • Μαζική απόσυρση, αναστολή εφαρμογής
  • Σελίδα περιστατικού/κατάστασης + συνδρομή
  • DLQ/Replay για Webhooks
  • Αυτόματες καταχωρίσεις για σχεδόν εξάντληση ποσοστώσεων
  • Μηνιαίες εκθέσεις και τιμολόγια

18) Σχέδιο εφαρμογής (3 επαναλήψεις)

Επανάληψη 1 - MVP (2- 3 εβδομάδες):
  • Καταχώριση org/εφαρμογών, έκδοση κλειδιών API, OAuth2 εντολής πελάτη, βασικά όρια (RPS/ποσοστώσεις), καταγραφές αιτήσεων και γραφήματα χρήσης, τεκμηρίωση και SDK TS/Python, αμμοκιβώτιο.
Επανάληψη 2 - Αξιοπιστία και ασφάλεια (3- 4 εβδομάδες):
  • JWT + JWKS, περιστροφή κλειδιού, Refresh Token + περιστροφή κατά τη χρήση, υποχρεωτική 2FA/SSO, webhooks (υπογραφές, retribes, logging, replay), τιμολόγηση webhooks, αναφορές και εξαγωγές, ρόλοι και ABAC.
Επανάληψη 3 - Κλίμακα και συμμόρφωση (συνεχής):
  • mTLS, διοικητικά εργαλεία (μαζική ανάκληση/αναστολή), μειώσεις και μεταναστεύσεις v2, Java/Go/.NET SDK, finops dashboards, GDPR/DSAR, Legal Hold, προηγμένη καταπολέμηση της κατάχρησης.

19) Mini-FAQ

JWT ή αδιαφανές

Το JWT είναι βολικό χωρίς να ρωτήσει τον εξυπηρετητή Auth (υπογραφή/' παιδί '), το αδιαφανές είναι ευκολότερο να ανακληθεί και κρύβει το περιεχόμενο. Και τα δύο χρησιμοποιούνται συχνά: εξωτερικά JWT, εσωτερικά αδιαφανή με ενδοσκόπηση.

Πόσο καιρό ζει το Access Token

5-15 λεπτά για προσαρμοσμένες συσκευές, 15-60 λεπτά για μηχανές. Αντισταθμίζεται από τη μηχανική ανανέωσης.

Πώς να περιστρέψετε με ασφάλεια τα κλειδιά

Κρατήστε το 'ενεργό/επόμενο', αναρτήστε και τα δύο στο JWKS, αλλάξτε τους πελάτες με το 'παιδί' και μετά θυμηθείτε το παλιό.

Σύνολο

Μια ισχυρή πύλη ανάπτυξης είναι η αυτοεξυπηρέτηση, η παρατηρησιμότητα και η ασφάλεια εξ ορισμού. Να δοθούν σαφείς διαδικασίες για την έκδοση/περιστροφή/ανάκληση μαρκών, διαφανή όρια και τιμολόγηση, τεκμηρίωση υψηλής ποιότητας και SDK, αξιόπιστα web hooks και λογιστικούς ελέγχους. Στη συνέχεια, οι ενσωματωτές θα ξεκινήσουν γρήγορα, και η πλατφόρμα σας θα παραμείνει διαχειρίσιμη, σύμφωνη και σταθερή υπό φορτίο.

Contact

Επικοινωνήστε μαζί μας

Επικοινωνήστε για οποιαδήποτε βοήθεια ή πληροφορία.Είμαστε πάντα στη διάθεσή σας.

Έναρξη ολοκλήρωσης

Το Email είναι υποχρεωτικό. Telegram ή WhatsApp — προαιρετικά.

Το όνομά σας προαιρετικό
Email προαιρετικό
Θέμα προαιρετικό
Μήνυμα προαιρετικό
Telegram προαιρετικό
@
Αν εισαγάγετε Telegram — θα απαντήσουμε και εκεί.
WhatsApp προαιρετικό
Μορφή: κωδικός χώρας + αριθμός (π.χ. +30XXXXXXXXX).

Πατώντας «Αποστολή» συμφωνείτε με την επεξεργασία δεδομένων.