پورتال توسعه دهنده و توکن های دسترسی

1) نقش پورتال توسعه دهنده

پورتال توسعه دهنده یک «دفتر جلویی» برای یکپارچه سازی است: سلف سرویس (کلید ها، نشانه ها، وب سایت ها، برنامه های تعرفه)، شفافیت (محدودیت ها، استفاده، فاکتورها)، امنیت (چرخش، امضا)، سرعت ادغام (SDK، اسناد و مدارک).

• TTI (زمان ادغام) را به ساعت کاهش دهید.
• کنترل دسترسی: چه کسی/چه چیزی/چقدر/چه زمانی.
• کاهش بار در پشتیبانی از طریق خودکار ابزار.

2) حسابداری و حسابداری

ثبت نام: ایمیل + 2FA/SSO (SAML/OIDC) ؛ اعتبار سنجی دامنه (نشانه DNS).
سازمان ها و تیم ها: «مالک»، «مدیر»، «توسعه دهنده»، «صورتحساب»، «امنیت» نقش ها.
چند مستاجر: اتصال برنامه ها به سازمان ها ؛ دسترسی به داده ها - توسط مستاجر/محیط زیست.
KYC/B2B (عمده فروشی): برای شرکت - شخص حقوقی، قرارداد، محدودیت های بالا.

3) ضمائم و اعتبارات

انواع برنامه: «سرور به سرور»، «وب»، «تلفن همراه»، «ماشین به ماشین»، «وب هوک مصرف کننده».

3. 1 کلید API (سرور به سرور، ادغام ساده)

شناسه «key _ id» + راز «key _ secret» (یکبار قابل مشاهده است).
اتصال به محدوده طرح و مجموعه.
درخواست امضا (HMAC) و/یا 'مجوز: ApiKey <key_id>:<signature>' هدر.

3. 2 OAuth2/OIDC (توصیه می شود)

• اعتبار مشتری (ماشین آلات).
• کد مجوز (+ PKCE) (کاربر واگذار).
• تازه کردن رمز (دسترسی آفلاین، چرخش RT).
• کد دستگاه (تلویزیون/کنسول).

3. 3 mTLS (سطح اضافی)

TLS متقابل در ورود ؛ گواهینامه ها از طریق پورتال دانلود می شوند ؛ اتصال «cert _ fingerprint» به برنامه.

4) نشانه ها: انواع و چرخه عمر

• کوتاه AT + RT طولانی ؛ RT - چرخش در استفاده از.
• لغو توسط کلید/برنامه/سازمان.
• صدور مجدد با محدودیت دامنه/سهمیه.

4. 1 فرمت JWT (به عنوان مثال)

json
{
"iss":"https://auth. example. com",
"sub":"app_123",
"aud":"https://api. example. com",
"exp":1730616000,
"iat":1730612400,
"scp":["wallet:read","bet:write"],
"org":"acme",
"kid":"jwks_2025_11",
"jti":"at_01HXY..."
}

کلیدهای عمومی در JWKS منتشر میشوند ؛ چرخش توسط «بچه».

4. 2 نشانه های مات و خودآزمایی

ذخیره 'token _ store' (Redis/SQL) در سرور Auth.
خودآزمایی: «فعال»، «دامنه»، «exp»، «client _ id»، «org»، «مستاجر».

5) حوزه ها، نقش ها و سیاست های دسترسی

حوزه ها عملیات را توصیف می کنند («کیف پول: خواندن»، «کیف پول: نوشتن»، «گزارش: خواندن»).
حوزه های جمع آوری نقش («توسعه دهنده»، «صورتحساب»).
ABAC: ویژگی های «org»، «مستاجر»، «منطقه»، «محیط زیست».
سیاستمداران: «این کلید فقط» eu-west-1 «و» read «است».
روش های بحرانی نیاز به دامنه های گسترده یا mTLS دارند.

6) سهمیه ها، محدودیت ها و تعرفه ها

محدودیت های نرخ: RPS/RPM، پشت سر هم.
سهمیه: روز/ماه، اعتبار.
توسط کلید/برنامه/سازمان/مستاجر.
پورتال نشان می دهد استفاده، هدر «X-RateLimit-» و «X-Quota-»، و همچنین پیش بینی overage.
صورتحساب: پیوند با یک طرح، اندازه گیری توسط رویدادها، فاکتورها و وب سایت های صورتحساب.

7) مدیریت وب هک

ثبت نقاط پایانی، اسرار، نسخه های رویداد.

تحویل تست و پخش مجدد ؛ گزارش های مجدد (2xx/4xx/5xx)

امضاهای HMAC («X-Signature»)، «X-Webhook-Id»، deduplication، احترام «410».

8) مستندات و SDK

OpenAPI/AsyncAPI با تولید خودکار SDK.
کتاب آشپزی: نمونه هایی از درخواست ها، retrays، idempotence، صفحه بندی، webhooks.
سعی کنید آن را زمین بازی (با کلید های شن و ماسه).
نسخه Changelog و صفحه افسردگی.

9) سندباکس و داده های تست

محیط های جدا شده: «sandbox»، «staging»، «production».
نهادهای تست (بازیکنان، معاملات) و اسکریپت (برنده/از دست دادن، تاخیر، 5xx، 429).
بذر داده ها از پورتال و تنظیم مجدد محیط.

10) امنیت و ذخیره سازی اسرار

API کلید هش اسرار (در متن روشن ذخیره نمی شود) ؛ نشان دادن کلید یک بار

مدیر مخفی (KMS/HSM) برای نشانه های امضا ؛ چرخش کلیدهای «کودک»

allowlist IP، محدودیت های جغرافیایی، فیلترهای ASN.
2FA/SSO، کلید های سخت افزاری (WebAuthn).
حفاظت در برابر سوء استفاده: CAPTCHA هنگام ایجاد، ضد ربات اکتشافی، سرعت ثبت نام.
سیاهههای مربوط بدون PII/اسرار ؛ اصلاح توسط الگوهای.

11) حسابرسی و انطباق

ورود به سیستم حسابرسی: که ایجاد/مشاهده/لغو کلید، تغییر webhook، دانلود گزارش.
GDPR/DSAR - داده های برنامه/سازمان را بارگیری و حذف کنید.
سیاست های نگهداری: TTL برای سیاهههای مربوط، نگهداری قانونی برای حوادث.

شرایط استفاده/استفاده منصفانه و محدودیت های صادرات

12) مدیریت و عملیات

فراخوانی توده ای از نشانه ها توسط حادثه/سازش.
تعلیق موقت درخواست (تعلیق) با علت و درخواست تجدید نظر.
رول کلید (حالت دو کلید: «فعال/بعدی»).
comm حادثه: صفحه وضعیت، نامه های پستی، وضعیت RSS/webhooks.

13) پورتال UI/UX (صفحه نمایش کلیدی)

داشبورد سازمان: استفاده/خطاها/SLO/صدور صورت حساب.
کاربرد: کلید ها، نشانه ها، حوزه ها، محدودیت ها، وب سایت ها، محیط ها.
سیاهههای مربوط به تحویل Webhook با فیلترها و دکمه پخش.
کنسول نشانه: شماره/فراخوان، تاریخ، دلایل.
مستندات و SDK، Quickstart، نمونه کد (کپی چسباندن).

بخش «مهاجرت و مهاجرت»

14) نمونه هایی از قراردادها و پیکربندی ها

14. 1 OpenAPI (قطعه)

yaml paths:
/v1/apps:
post:
summary: Create app security: [{ oauth2: [admin:apps. write] }]
responses:
'201': { description: Created }
/v1/apps/{app_id}/keys:
post:
summary: Create API key (shown once)
responses:
'201': { description: Created }
/v1/oauth2/token:
post:
summary: Token endpoint (CC/AC)
responses:
'200': { description: Access token }
/v1/tokens/revoke:
post:
summary: Revoke access/refresh token responses:
'204': { description: Revoked }

14. 2 نشانه خودآزمایی (پاسخ)

json
{
"active": true,
"client_id": "app_123",
"scope": "wallet:read bet:write",
"org": "acme",
"exp": 1730616000,
"token_type": "access_token",
"jti": "at_01HXY..."
}

14. 3 سیاست های کلیدی (JSON)

json
{
"app_id":"app_123",
"plan":"pro-2025",
"scopes":["wallet:read","report:read"],
"limits":{"rps":50,"daily_requests":250000},
"regions":["eu-west-1"],
"ip_allow":["192. 0. 2. 0/24"]
}

15) فرآیندهای نسخه و سپرده

نسخه های API معنایی ('/v1 '، '/v2')، سازگاری add-do-not-break.
پورتال نشان می دهد: «چه چیزی منسوخ می شود»، تا چه تاریخی، و «چگونه مهاجرت کنیم».
راهنماهای مهاجرت، آزمون sandbox 'v2'، دوگانه نوشتن/دوگانه خواندن در هر کجا که ممکن است.

16) قابلیت مشاهده و گزارش دهی

استفاده → درآمد: برنامه های درخواست/اعتبار/پوشش.
خطاها بر اساس وضعیت/« error _ code »، هیستوگرام تأخیر.
ویجت های SLO: دسترسی و p95 برای دسته های کلیدی.
صادرات CSV/JSON، وب سایت گزارش ها، API برای تجزیه و تحلیل.

17) چک لیست

17. 1 ایمنی

• 2FA/SSO، دامنه/ایمیل تایید
• نمایش اسرار یک بار، ذخیره سازی هش
• JWKS و چرخش کلید، 'بچه'
• mTLS (سابق)، allowlist IP، فیلترهای جغرافیایی/ASN
• ضد ربات/ضد سوء استفاده، محدودیت نرخ در تولید کلید
• گزارش حسابرسی اقدامات و دسترسی ها

17. 2 DX/Onboarding

• شروع سریع ≤ 5 دقیقه
• SDK (TS/Py/Java/Go/.NET) با همان سطح
• زمین بازی + کلید های شن و ماسه
• کتاب آشپزی: Webhooks، Pagination، Retreats، Idempotence
• محدودیت ها/برنامه ها/صفحه قیمت گذاری
• کپی چسباندن نمونه

17. 3 عملیات

• فراخوان انبوه نشانه، تعلیق برنامه
• صفحه حادثه/وضعیت + اشتراک
• DLQ/پخش برای Webhooks
• هشدار خودکار برای خستگی نزدیک سهمیه
• گزارش های ماهانه و فاکتورها

18) برنامه پیاده سازی (3 تکرار)

• ثبت نام از ORG/برنامه های کاربردی، صدور کلید API، OAuth2 اعتبار مشتری، محدودیت های اساسی (RPS/سهمیه)، سیاهههای مربوط به درخواست و نمودار استفاده، اسناد و SDK TS/پایتون، ماسهبازی.

• JWT + JWKS، چرخش کلید، Refresh Token + rotate-on-use، 2FA/SSO اجباری، webhooks (signatures، retries، logging، replay)، webhooks صورتحساب، گزارش ها و صادرات، نقش ها و ABAC.

• mTLS، ابزار مدیریت (جرم لغو/تعلیق)، احکام و مهاجرت v2، جاوا/Go/.NET SDK، داشبورد finops، GDPR/DSAR، حقوقی نگه دارید، پیشرفته ضد سوء استفاده.

19) مینی سوالات متداول

JWT یا مات ؟

JWT بدون درخواست سرور Auth (امضا/' بچه ') مناسب است، مات آسان تر برای لغو و پنهان کردن محتوا است. هر دو اغلب استفاده می شود: خارجی JWT، داخلی مات با درون نگری.

Access Token چقدر عمر میکند ؟

کوتاه: 5-15 دقیقه برای سفارشی، 15-60 دقیقه برای دستگاه. جبران شده توسط مکانیک تازه سازی.

چگونه کلیدها را ایمن بچرخانیم ؟

«فعال/بعدی» را نگه دارید، هر دو را به JWKS ارسال کنید، مشتریان را با «بچه» تغییر دهید، سپس یکی از قدیمی ها را به یاد بیاورید.

مجموع

یک پورتال توسعه دهنده قوی، خود سرویس، قابلیت مشاهده و امنیت به طور پیش فرض است. فرآیندهای واضح برای صدور/چرخش/لغو نشانه ها، محدودیت های شفاف و صدور صورت حساب، اسناد با کیفیت بالا و SDK ها، وب سایت های قابل اعتماد و ممیزی ها. سپس انتگرال ها به سرعت شروع می شوند و پلت فرم شما تحت بار قابل کنترل، سازگار و پایدار خواهد بود.