מפתח פורטל ואסימונים גישה

1) תפקיד פורטל מפתח

מפתח פורטל (באנגלית: Developer Portal) הוא ”משרד קדמי” לאינטגרטורים: שירות עצמי (מפתחות, אסימונים, חוברות אינטרנט, תוכניות תעריפים), שקיפות (מגבלות, שימוש בחשבוניות), אבטחה (סיבוב, חתימות), מהירות אינטגרציה (SDK, תיעוד, ארגז חול).

מטרות מפתח:

הפחתת TTI (זמן לאינטגרציה) לשעות.
תן בקרת גישה: מי/מה/כמה/מתי.
להפחית את העומס על תמיכה באמצעות כלים אוטומטיים.

2) עלייה למטוס וחשבונות

הרשמה: דוא "ל + 2FA/SSO (SAML/OIDC); אימות Domain (DNS token).
ארגונים וצוותים: ”בעלים”, ”מנהל”, ”מפתח”, ”בילינג”, ”ביטחון” תפקידים.
רב-דייר: קישור יישומים לארגונים; גישה למידע על ידי דייר/סביבה.
KYC/B2B עבור האנטרפרייז - ישות משפטית, חוזה, גבולות לעיל.

3) נספחים וקרדיטים

סוגי יישומים: ”שרת אל שרת”, ”אינטרנט”, ”נייד”, ”מכונה אל מכונה”, ”ווב-הוק-צרכן”.

3. 1 מפתחות API (שרת אל שרת, אינטגרציות פשוטות)

מזהה את מפתח _ id' + סודי 'key _ secret' (נראה לעין פעם אחת).
מחייב לרדוף אחר תוכניות וקביעות.
חתימת בקשה (HMAC) ו/או אישור: ApiKey <כותרת key_id>:<signature>'.

3. 2 OAuth2/OIDC (מומלץ)

מענקים:

תעודות לקוח (מכונות).
קוד הרשאה (+ PKCE).
רענן טוקן (גישה לא מקוונת, סיבוב RT).
קוד התקן (טלוויזיה/קונסולות).

3. 3 MTLS (רמה נוספת)

TLS הדדי על להיכנס; תעודות מורדות דרך הפורטל; מחייב 'cert _ טביעת אצבע' ליישום.

4) אסימונים: סוגים ואמצעי חיים

הקלד	היכן מאוחסן	כל החיים	השתמש ב
טוקן גישה (JWT/Opaque)	לקוח	קצר (5-60 דקות)	מבקש אישור
רענן אסימון	שרת לקוחות	ארוך (7-90 ימים)	בשדרוג, סיבוב
מפתח API	שרת לקוחות	לפני הסיבוב	חתימת HMAC/אימות cert פשוט של mTLS

עקרונות:

קצר AT + ארוך RT; RT - לסובב-על-שימוש.
ביטול על ידי מפתח/יישום/ארגון.
הנפקה מחדש עם מספנות/מכסות הגבלות.

4. 1 פורמט JWT (דוגמה)

json
{
"iss":"https://auth. example. com",
"sub":"app_123",
"aud":"https://api. example. com",
"exp":1730616000,
"iat":1730612400,
"scp":["wallet:read","bet:write"],
"org":"acme",
"kid":"jwks_2025_11",
"jti":"at_01HXY..."
}

מפתחות ציבוריים מתפרסמים ב-JWKS; סיבוב על ידי ”ילד”.

4. 2 אסימונים אטומים ואינטרוספקציה

סטור ”token _ store” (רדיס/SQL) בשרת Auth.
אינטרוספקציה: "פעיל", "היקף", "exp", "לקוח _ id'," org "," דייר ".

5) סקופים, תפקידים ומדיניות גישה

סקופים מתארים פעולות (”ארנק: קרא”, ”ארנק: כתוב”, ”דיווח: קרא”).
תפקידים צוברים סקופים (”מפתח”, ”בילינג”).
מאפיינים 'org', 'דייר', 'אזור', 'סביבה'.

פוליטיקאים: ”המפתח הזה הוא רק 'eu-west-1' ו 'קרא'.”

שיטות קריטיות דורשות סקופים מורחבים או mTLS.

6) מכסות, גבולות ותעריפים

מגבלות קצב: RPS/RPM, פרץ.
מכסות: יום/חודש, קרדיטים.
על ידי מפתח/יישום/ארגון/דייר.
הפורטל מציג שימוש, כותרות 'X-EoutLimit-' ו 'X-Quota', כמו גם תחזית היתר.
חיוב: להתחבר עם תכנית, מטייל על ידי אירועים, חשבוניות וחשבונות אינטרנט חיוב.

7) ניהול Webhook

רישום של נקודות סוף, סודות, גרסאות אירוע.
בדיקת משלוח והילוך חוזר; ריטרי לוגים (2xx/4xx/5xx).
חתימות HMAC ('X-חתימה'), 'X-Webhook-ID', דה-כפילות, כבוד '410'.

8) תיעוד ו ־ SDK

OpenAPI/ASyncAPI עם הדור האוטומטי של SDK.
ספר בישול: דוגמאות לבקשות, מגשים מחדש, אידמפוטנטיות, עבודת אלילים, פנקסי אינטרנט.
מגרש משחקים (עם מפתחות חול).
גרסה Changelog ודף הדיכאון.

9) ארגז חול ונתוני בדיקה

סביבות מבודדות: ”ארגז חול”, ”היערכות”, ”ייצור”.
ישויות מבחן (שחקנים, עסקאות) ותסריטים (ניצחון/הפסד, עיכובים, 5xx, 429).
מידע הזורע מהפורטל ומאפס את הסביבה.

10) ביטחון ואחסון סודות

API Key חשיש של סודות (לא לאחסן בטקסט ברור); להראות מפתח פעם אחת.
מנהל סודי (KMS/HSM) עבור אסימוני חתימה; סיבוב של מפתחות 'ילד'.
רשימת נתונים IP, אילוצים גיאו, מסנני ASN.
2FA/SSO, מפתחות חומרה (WebAuthn).
הגנה מפני ניצול: CAPTCHA בעת יצירת, אנטי-בוט היוריסטיקה, מהירות רישום.
יומנים ללא PII/סודות; שיפוץ לפי דפוסים.

11) ביקורת וציות

רישום ביקורת: מי יצר/צפה/ביטל את המפתח, שינה את ה-webhook, והוריד את הדו "ח.
GDPR/DSAR - הורד ומחק נתוני יישום/ארגון.
מדיניות שימור: TTL ליומנים, Hold משפטי לתקריות.
תנאי שימוש/שימוש הוגן והגבלות ייצוא.

12) ניהול ומבצעים

החזרה המונית של אסימונים על ידי תקרית/פשרה.
השעיה זמנית של הבקשה (השהייה) עם עילה וערעור.
גלגול מפתחות (מצב של שני מפתחות: ”פעיל/הבא בתור”).
תקשורת תקרית: עמוד מצב, דואר, מצב RSS/webhooks.

13) פורטל UI/UX (מסכי מפתח)

לוח מחוונים ארגון: שימוש/שגיאות/SLO/חיוב.
יישום: מפתחות, אסימונים, סקופים, גבולות, קורות רשת, סביבות.
יומני משלוח Webhook עם מסננים וכפתור הילוך חוזר.
קונסולת טוקן: גיליון/חזרה, היסטוריה, סיבות.
תיעוד ו-SDK, קוויקסטארט, דגימות קוד (העתק-הדבקה).
סעיף ”עיצומים ונדידות”.

14) דוגמאות של חוזים ותצורות

14. 1 OpenAPI (קטעים)

yaml paths:
/v1/apps:
post:
summary: Create app security: [{ oauth2: [admin:apps. write] }]
responses:
'201': { description: Created }
/v1/apps/{app_id}/keys:
post:
summary: Create API key (shown once)
responses:
'201': { description: Created }
/v1/oauth2/token:
post:
summary: Token endpoint (CC/AC)
responses:
'200': { description: Access token }
/v1/tokens/revoke:
post:
summary: Revoke access/refresh token responses:
'204': { description: Revoked }

14. 2 Secondiction token (תשובה)

json
{
"active": true,
"client_id": "app_123",
"scope": "wallet:read bet:write",
"org": "acme",
"exp": 1730616000,
"token_type": "access_token",
"jti": "at_01HXY..."
}

14. 3 מדיניות מפתח (JSON)

json
{
"app_id":"app_123",
"plan":"pro-2025",
"scopes":["wallet:read","report:read"],
"limits":{"rps":50,"daily_requests":250000},
"regions":["eu-west-1"],
"ip_allow":["192. 0. 2. 0/24"]
}

15) תהליכי ורסינציה והסמכה

גרסאות API סמנטי ('/v1 ', '/v2'), תאימות הוספה-לא-לשבור.
הפורטל מראה: ”מה נעשה מיושן,” עד איזה תאריך, ו ”איך לנדוד”.
מדריכי נדידה, ארגז חול 'v2', דו-כתיבה/קריאה כפולה בכל מקום אפשרי.

16) יכולת תצפית ודיווח

מס הכנסה: בקשה/אשראי/לוחות זמנים.
שגיאות על ידי מצב/שגיאה _ קוד, היסטוגרמות latency.
וידג 'טים: נגישות ו-p95 לידיות מפתח.
ייצוא CSV/JSON, דוחות באינטרנט, API לאנליטיקה.

17) רשימות בדיקה

17. בטיחות 1

[ ] 2FA/SSO, אישור תחום/דואר

[ ] להראות סודות פעם אחת, אחסון חשיש

[ ] JWKS וסבב מפתח ", קיד &fost

[ ] MTLS (Ex), IP allowlist, מסנני Geo/ASN

[ ] אנטי-בוט/אנטי-התעללות, מגבלת קצב על דור מפתח

[ ] יומן ביקורת של פעולות ונגישות

17. 2 DX/עלייה למטוס

[ ] קוויקסטארט 5 דקות

[ ] SDK (TS/Py/Java/Go/NET)

[ ] מגרש משחקים + מפתחות חול

ספר הבישול [ ]: Webhooks, Pagination, Retreats, Idempotence

[ מגבלות ]/תוכניות/עמוד תמחור

[ ] דוגמאות העתק-הדבקה

17. 3 פעולות

[ החזרת אסימון המיסה ], אפליקציית השהייה

[ ] תקרית/סטטוס עמוד + מנוי

[ ] DLQ/Replay עבור Webhooks

[ ] התראות אוטומטיות לתשישות כמעט מכסה

[ ] דוחות חודשיים וחשבוניות

18) תוכנית יישום (3 איטרציות)

איטרציה 1 - MVP (2-3 שבועות):

הרשמה של org/applications, הוצאה של API Keys, Calient Representials OAuth2, גבולות בסיסיים (RPS/מכסות), רישום בקשה וגרפי שימוש, תיעוד ו-SDK TS/Python, ארגז חול.

איטרציה 2 - אמינות ובטיחות (3-4 שבועות):

JWT + JWKS, סיבוב מפתחות, רענון טוקן + סיבוב-על-שימוש, 2FA/SSO חובה, חוברות אינטרנט (חתימות, רטריטות, רישום, שידור חוזר), חיוב ספרי אינטרנט, דיווחים ויצוא, תפקידים ו-ABAC.

איטרציה 3 - קנה מידה ותאימות (רציף):

MTLS, כלי ניהול (ביטול המוני/השהייה), צמצום והגירה V2, Java/Go/NET SDK, פינופס לוחות מחוונים, GDPR/DSAR, Legal Hold, אנטי-התעללות מתקדמת.

19) מיני ־ FAQ

JWT או אטום?
JWT נוח מבלי לשאול את שרת Auth (חתימה/” ילד ”), לאוטם קל יותר לבטל ולהסתיר את התוכן. שניהם משמשים לעתים קרובות: JWT חיצוני, אטום פנימית עם אינטרוספקציה.

כמה זמן גרה גישה טוקן?
5-15 דקות מותאמות אישית, 15-60 דקות למכונה. מפוצה על ידי מכניקת רענון.

איך לסובב את המפתחות בבטחה?
שמור 'פעיל/הבא', לפרסם שניהם JWKS, לעבור לקוחות על ידי 'ילד', ואז להיזכר הישן.

סך הכל

פורטל מפתח חזק הוא שירות עצמי, יכולת תצפית, וביטחון כברירת מחדל. תן תהליכים ברורים להנפקת/סיבוב/שלילת אסימונים, גבולות שקופים וחיוב, תיעוד באיכות גבוהה ו-SDKs, פנקסי אינטרנט וביקורות אמינות. ואז האינטגרטורים יתחילו במהירות, והפלטפורמה שלך תישאר בשליטה, צייתנית ויציבה תחת עומס.

מפתח פורטל ואסימונים גישה

סך הכל

צרו קשר

חיבור מהיר

הווידאו יעודכן בקרוב

אנחנו עמוסים מאוד בפרויקטים כרגע