GH GambleHub

कर्नेल में OAuth2/OpenID कनेक्ट करें

OIDC ओवर - यह साबित करने का एक मानक तरीका है कि उपयोगकर्ता/क्लाइंट कौन है और अल्पकालिक एपीआई एक्सेस देता है। प्लेटफ़ॉर्म के मूल में, यह एक केंद्रीय क्षमता बन जाती है: ग्राहकों, ऑपरेटरों और सेवाओं के लिए एकल साइन-ऑन; न्यूनतम विशेषाधिकार; औसत दर्जे का जोखिम; क्षेत्रीय और लाइसेंसिंग नियमों का अनुपालन।

1) लक्ष्य और सिद्धांत

पृथक्करण "तैनात बनाम सक्षम करें": कोड को अलग से रोल आउट करें, झंडे/नीतियों के साथ पहुंच सक्षम करें।

अल्पकालिक टोकन + सुरक्षित अपडेट: लीक से नुकसान कम करें।

मल्टी-किरायेदार/क्षेत्र: सभी कलाकृतियों को 'किरायेदार/क्षेत्र/लाइसेंस' कहा जाता है।

टोकन के शीर्ष पर नीतियां: समाधान पीडीपी (आरबीएसी/एबीएसी), प्रवेश द्वार/सेवाओं पर पीईपी द्वारा किए जाते हैं।

लिंक सुरक्षा: TLS1। 2 +, mTLS/DPoP यदि संभव हो, तो सख्त CORS/CSRF।

अवलोकन और लेखा परीक्षा: स्ट्रीम द्वारा दृश्यता, ग्राहक द्वारा, क्

2) प्रवाह और उन्हें कब लागू करना है

प्राधिकरण कोड + PKCE (SPA/मोबाइल/वेब) - उपयोगकर्ता लॉगिन के लिए डिफ़ॉल्ट।

उपकरण प्राधिकरण (कंसोल/टीवी/सीएलआई) - जब कोई ब्राउज़र न हो।

क्लाइंट क्रेडेंशियल्स (मशीन-टू-मशीन) - उपयोगकर्ता के बिना सेवा एकीकरण।

टोकन एक्सचेंज (RFC 8693, OBO) - सेवा उपयोगकर्ता की ओर से कार्य करती है।

CIBA/Back-channel (वैकल्पिक) - पुनर्निर्देशन के बिना पुश प्रमाणीकरण।

डिफ़ॉल्ट रूप से सक्षम करने के लिए एक्सटेंशन:
  • PAR (धक्का प्राधिकरण अनुरोध) - प्राधिकरण पैरामीटर एक सुरक्षित सर्वर चैनल पर प्रेषित किए जाते हैं।
  • JWT सुरक्षित प्राधिकरण - अनुरोध पैरामीटर हस्ताक्षरित/एन्क्रिप्टेड हैं।
  • JARM - संरक्षित प्राधिकरण प्रतिक्रिया (JWT), स्पूफिंग के लिए प्रतिरोधी।
  • आरएआर (समृद्ध प्राधिकरण अनुरोध) - समृद्ध अभिगम अधिकार अनुरोध (विस्तृत अनुमति)।

3) टोकन और टिकट

प्रकार:
  • आईडी टोकन (OIDC) - जिसने प्रवेश किया (केवल क्लाइंट/फ्रंट को दिखाएं)।
  • एक्सेस टोकन (एटी) - राइट टू एक्शन (अल्प जीवन)।
  • ताज़ा टोकन (आरटी) - अपडेट एटी; केवल एक विश्वसनीय वातावरण में संग्रहीत है।
समय की सिफारिशें:
  • एटी: 5-15 मिनट (वेब/मोबाइल), 2-5 मिनट (सेवा-से-सेवा)।
  • आरटी: 7-30 дней (वेब/मोबाइल) с रोटेशन + पुन: उपयोग का पता लगाना।
  • आईडी: ≤ 5 मिनट।
न्यूनतम एटी टिकट (उदाहरण): 
json
{
"iss":"https://auth. core",
"sub":"user_42",
"aud":["wallet","catalog"],
"exp":1730388600,"iat":1730388000,
"tenant":"brand_eu","region":"EE","licence":"EE-A1",
"scp":["wallet:read","bets:place"],     // scopes
"sid ": "sess _ abcd, ""amr": [" pwd,"" webauthn"] ,//login methods
"act":{"sub":"svc. catalog" }//if OBO
}

हस्ताक्षर: ES256/EdDSA, सार्वजनिक कुंजी - JWKS में 'बच्चे' और रोटेशन के साथ।

4) सत्र की रूपरेखा और लॉगआउट

सर्वर-साइड सत्र для वेब (कुकी 'सेमसाइट = लैक्स/स्ट्रिक्ट', 'Httpony', 'सुरक्षित').

बैक-चैनल लॉगआउट + फ्रंट-चैनल लॉगआउट (OIDC) - सभी क्लाइंट का तुल्यकालिक समाप्ति।

स्टेप-अप एमएफए: संवेदनशील क्रियाओं के साथ - दोहराया चेक ('एकड़' बढ़ ता है)।

निरसन और आत्मनिरीक्षण: तुरंत घटना से आरटी/एटी को अक्षम करना।

5) ग्राहक सुरक्षा

वेब/एसपीए: प्राधिकरण कोड + पीकेसीई, कोई अंतर्निहित नहीं; सख्त CORS/सामग्री-सुरक्षा-नीति।

मोबाइल: सिस्टम ब्राउज़र (AppAuth), इंटीग्रिटी चेक (ऐप अटेस्टेशन/डिवाइसचेक), सुरक्षित आरटी स्टोरेज।

डेस्कटॉप/सीएलआई/टीवी: उपकरण प्रवाह; ओएस गुप्त दुकानों में आरटी स्टोर करें।

डिवाइस/कनेक्शन में एटी को बांधने के लिए डीपीओपी या एमटीएलएस-बाउंड टोकन.

6) सेवा-से-सेवा

mTLS + लघु सेवा JWT (aud-scoped), KMS/HSM के साथ STS जारी करता है।

कार्यभार की पहचान: SPIFFE/SPIRE।

संकीर्ण-से-व्यापक नीति: विशिष्ट दर्शक और स्कोप इसके बजाय। "

7) स्कोप-रजिस्ट्री और सहमति

नामकरण: 'संसाधन: क्रिया' - 'बटुआ: पढ़ें', 'बटुआ: हस्तांतरण', 'दांव: स्थान', 'kyc: स्थिति। पढ़ें '।

स्कोप की दृश्यता और संवेदनशीलता कॉन्फ़िगर करें।

सहमति स्क्रीन को RAR/स्कोप्स से इकट्ठा किया जाता है; एक सहमति इतिहास रखें और प्रतिक्रिया की अनुमति दें।

RAR का उदाहरण (बटुआ → अनुवाद): 
json
{
"type":"wallet. transfer",
"actions":["create"],
"locations":["https://api. core/wallet"],
"datatypes":["payment"],
"resources":[{"wallet_id":"w_123","currency":"EUR","amount_max":1000}]
}

8) प्राधिकरण एकीकरण (पीडीपी/पीईपी)

गेटवे एपीआई पर पीईपी एटी/डीपीओपी/एमटीएलएस को मान्य करता है, संदर्भ को समृद्ध करता है (आईपी/एएसएन/क्षेत्र/किरायेदार), पीडीपी के लिए एक अनुरोध करता है।

PDP (OPA/cedar) RBAC/ABAC/ReBAC नीतियों को लागू करता है और 'EMELE/DENY' with स्पष्टीकरण और TTL को लौटाता है।

घटना (भूमिका/नियम परिवर्तन) द्वारा विकलांगता के साथ पीईपी (टीटीएल 30-120 एस) पर समाधान कैश।

9) बहु-किरायेदार और क्षेत्र

सभी टोकन और सत्रों को 'किरायेदार/क्षेत्र/लाइसेंस' लेबल किया जाता है; पीडीपी संसाधन अनुपालन को मान्य करता है।

क्षेत्र द्वारा JWKS/कुंजियों और रिकॉल सूचियों को अलग करें; क्रॉस-क्षेत्र - विश्वसनीय गेटवे के माध्यम से।

डेटा रेजिडेंसी सीमाएं: उत्पत्ति के क्षेत्र में आत्मनिरीक्षण/निरसन किया जाता है।

10) प्रोटोकॉल प्रवर्धन

PAR + JAR + JARM - प्राधिकरण मापदंडों और प्रतिक्रियाओं की रक्षा करें।

नॉन/स्टेट/पीकेसीई - सभी सार्वजनिक ग्राहकों के लिए।

धक्का उपकरण प्राधिकरण (उच्च जोखिम पर)।

आत्मनिरीक्षण के माध्यम से बाहरी एकीकरण के लिए न्यूनतम टिकट + अपारदर्शी विकल्प के साथ JWT एक्सेस टोकन।

FAPI जैसी प्रथाएं: सख्त हस्ताक्षर एल्गोरिदम, TLS/redirect_uri/PKCE आवश्यकताएं।

11) त्रुटियां और वापसी नीति

प्रतिक्रियाओं को मानकीकृत करें: 
json
{ "error":"invalid_grant", "error_description":"refresh token reused", "error_code":"RT_REUSE" }

Критичные коды: 'अमान्य _ अनुरोध', 'अवैध _ क्लाइंट', 'अवैध _ ग्रांट', 'अवैध _ स्कोप', 'अनधिकृत _ क्लाइंट', 'एक्सेस _ इनकार', 'अस्थायी रूप से _ अनुपलब्ध'।

संवेदनशील समापन बिंदुओं के लिए दर-सीमा ('/टोकन ', '/आत्मनिरीक्षण', '/revoke '), घातीय बैकऑफ़।

12) अवलोकन और लेखा परीक्षा

मेट्रिक्स:
  • 'auth _ code _ amety _ rate', 'pkce _ mission _ rate', 'mfa _ challenge/fail _ rate',
  • 'token _ issuance _ p95 _ ms', 'jwks _ skew _ ms', 'अवैध _ token _ rate', 'rt _ reuse _ dated',
  • по API: 'authz _ p95 _ ms', 'deny _ rate {rese}', 'dpop _ mismatch _ rate', 'mtls _ fail _ rate'।

Логи/трейсы: 'क्लाइंट _ आईडी', 'ग्रांट _ टाइप', 'किड', 'acr/amr', 'किरायेदार/क्षेत्र', 'निर्णय', 'पॉलिसी _ संस्करण', 'aud', 'scp', 'trace _ id'।

ऑडिट (अपरिवर्तनीय): टोकन जारी करना, अधिकारों में वृद्धि, सहमति वापस लेना, प्रमुख रोटेशन।

13) प्रमुख प्रबंधन और रोटेशन

JWT हस्ताक्षर: KMS/HSM, 'बच्चे' के साथ JWKS प्रकाशन।

दोहरी कुंजी अवधि: IdP नए संकेत देता है, समीक्षक स्विच करने से पहले पुराने + नए स्वीकार करते हैं।

नियमित रोटेशन और आपातकालीन निरस्त; 'बच्चे' की खपत की निगरानी।

14) प्लेबुक (रनबुक)

1. हस्ताक्षर कुंजी समझौता

तुरंत 'बच्चे' को रद्द करें, एक नया, बल-अक्षम आरटी/सत्र, ऑडिट रिपोर्ट जारी करें।

2. मास 'अवैध _ टोकन '/वृद्धि 401

घड़ी मिसलिग्नमेंट की जाँच करें, एटी, टूटा हुआ जेडब्ल्यूकेएस कैश; अस्थायी रूप से 'घड़ी _ तिरछा' सहिष्णु को बढ़ाएं।

3. आरटी पुन: उपयोग करें

सत्र को अवरुद्ध करें ('sid'), उपयोगकर्ता को सूचित करें, नए लॉगिन के लिए एक चरण-अप की मांग करें, जांच करें।

4. आईडीपी ड्रॉप

"केवल पढ़ ने के लिए प्राधिकरण" मोड सक्षम करें: सक्रिय एटीएस को टीटीएल तक रखें, नए लॉगिन को प्रतिबंधित करें, आत्मनिरीक्षण कैश को स्केल करें।

5. '/टोकन 'पर हमला

दर-सीमा/बॉट फिल्टर को मजबूत करें, संवेदनशील ग्राहकों के लिए mTLS/DPoP सक्षम करें, कोल्ड RTs को एक अलग खंड में स्थानांतरित करें।

15) परीक्षण

अनुबंध: OIDC खोज, JWKS, OpenID प्रदाता कॉन्फिग।

सुरक्षा: PKCE/nonce/state आवश्यक हैं; नकारात्मक-सेट (प्रतिस्थापन 'redirect _ uri', RT का पुन: उपयोग करें)।

अंतर: ग्राहक (वेब/मोबाइल/सीएलआई), विभिन्न समय क्षेत्र/स्थान।

अराजकता: PAR/JARM विफलता, JWKS देरी, मक्खी पर 'बच्चा' घुमाया।

E2E: स्टेप-अप एमएफए, ओबीओ (टोकन एक्सचेंज), लॉगआउट (फ्रंट/बैक-चैनल), रिवोक/रोटेट।

16) कॉन्फ़िगरेशन उदाहरण

OIDC/प्राधिकरण सर्वर (YAML टुकड़ा): 
yaml issuer: https://auth. core jwks:
rotation_days: 30 alg: ES256 tokens:
access_ttl: 10m refresh_ttl: 14d id_ttl: 5m policies:
require_pkce: true require_par: true require_jarm: true dpop_enabled: true mfa_step_up:
actions: ["wallet:transfer","payout:initiate"]
tenancy:
include_claims: ["tenant","region","licence"]
jwks_per_region: true
स्कोप रजिस्ट्री: 
yaml scopes:
wallet: read: {desc: "Reading balance"}
wallet: transfer: {desc: "Transfer of funds," sensitive: true, step_up: true}
bets: place: {desc: "Betting"}
kyc:status. read: {desc: "KYC status"}
roles:
player: { allow: [bets:place] }
support: { allow: [wallet:read, kyc:status. read] }
finance: { allow: [wallet:read, wallet:transfer] }

17) प्री-सेल चेकलिस्ट

  • PKCE/nonce/state सक्षम; PAR/JAR/JARM सक्रिय हैं।
  • एटी/आरटी/टीटीएल आईडी सेट; आरटी रोटेशन + पुन: उपयोग पता लगाने सक्षम।
  • संवेदनशील क्लाइंट/ऑपरेशन के लिए DPoP या mTLS-बाइंडिंग।
  • JWKS c 'बच्चा'; स्वचालित घूर्णन और कुंजी खपत निगरानी।
  • सहमति/आरएआर और गुंजाइश रजिस्ट्री; संवेदनशील गतिविधियों के लिए कदम एमएफए।
  • पीडीपी/पीईपी एकीकृत, विकलांगता समाधान कैश।
  • टोकन में 'किरायेदार/क्षेत्र/लाइसेंस' होता है; रेजीडेंसी देखी जाती है।
  • अवलोकन: मैट्रिक्स, लॉग, ट्रेसिंग; 'अवैध _ टोकन', 'rt _ reuse', 'jwks _ skew' के लिए अलर्ट।
  • revoke/घूमने/लॉकडाउन पर प्लेबुक; आपातकालीन लॉगआउट बटन।
  • स्टैंड पर E2E/chaos/interop परीक्षणों का एक सेट पारित किया गया था।

निष्कर्ष

एक प्लेटफ़ॉर्म क्षमता के रूप में एम्बेडिंग करके, आपको पूर्वानुमानित प्राधिकरण प्रवाह, प्रबंधित टोकन, समान पहुंच नीतियां और औसत दर्जे का जोखिम मिलता है। आरटी, प्रमुख रोटेशन, PAR/JARM/DPoP द्वारा संरक्षित शॉर्ट एटी, सहमति और स्टेप-अप प्रथाएं हैं जो सुरक्षा को डिफ़ॉल्ट बनाती हैं, और टीमों और भागीदारों के लिए तेजी से और दर्द रहित हैं।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।