डेवलपर पोर्टल और एक्सेस टोकन
1) डेवलपर पोर्टल भूमिका
डेवलपर पोर्टल इंटीग्रेटर्स के लिए एक "फ्रंट ऑफिस" है: स्व-सेवा (कुंजी, टोकन, वेबहूक, टैरिफ प्लान), पारदर्शिता (सीमा, उपयोग, चालान), सुरक्षा (रोटेशन, हस्ताक्षर), एकीकरण गति (एसडीके, दस्तावेशन, सैंडबॉक्स)।
मुख्य उद्देश्य:- TTI (समय-से-एकीकृत) को घंटों तक कम करें।
- अभिगम नियंत्रण दें: कौन/कितना/कितना/कब।
- ऑटो-टूल्स के माध्यम से समर्थन पर लोड कम करें।
2) ऑनबोर्डिंग और खाते
पंजीकरण: ईमेल + 2FA/SSO (SAML/OIDC); डोमेन सत्यापन (DNS टोकन)।
संगठन और टीमें: 'मालिक', 'व्यवस्थापक', 'डेवलपर', 'बिलिंग', 'सुरक्षा' भूमिकाएँ।
बहु-किरायेदार: संगठनों से अनुप्रयोगों को जोड़ ना; डेटा अभिगम - किरायेदार/पर्यावरण द्वारा।
KYC/B2B (थोक): उद्यम के लिए - कानूनी इकाई, अनुबंध, ऊपर की सीमाएं।
3) परिशिष्ट और क्रेडिट
अनुप्रयोग प्रकार: 'सर्वर-टू-सर्वर', 'वेब', 'मोबाइल', 'मशीन-टू-मशीन', 'वेबहुक-उपभोक्ता'।
3. 1 एपीआई कुंजी (सर्वर-टू-सर्वर, सरल एकीकरण)
पहचानकर्ता 'कुंजी _ id' + गुप्त 'कुंजी _ सीक्रेट' (एक बार दृश्य)।
स्कोप योजना और सेट के लिए बाध्यकारी।
हस्ताक्षर का अनुरोध करें (HMAC) और/या 'प्राधिकरण: ApiKey
3. 2 OAuth2/OIDC (अनुशंसित)
अनुदान:- क्लाइंट क्रेडेंशियल्स (मशीन)।
- प्राधिकरण कोड (+ PKCE) (उपयोगकर्ता-डेलिगेटेड)।
- टोकन ताज़ा करें (ऑफ़लाइन एक्सेस, आरटी रोटेशन)।
- डिवाइस कोड (टीवी/कंसोल)।
3. 3 mTLS (अतिरिक्त स्तर)
इंग्रेस पर म्यूचुअल टीएलएस; पोर्टल के माध्यम से प्रमाण पत्र डाउनलोड किए जा एप्लिकेशन के लिए 'सर्टिफिकेशन _ फिंगरप्रिंट' बाइंडिंग।
4) टोकन: प्रकार और जीवनचक्र
सिद्धांत:- शॉर्ट एटी + लंबी आरटी; आरटी - घूर्णन-ऑन-उपयोग।
- कुंजी/अनुप्रयोग/संगठन द्वारा निरस्त करें
- स्कोप/कोटा प्रतिबंधों के साथ फिर से जारी।
4. 1 JWT प्रारूप (उदाहरण)
json
{
"iss":"https://auth. example. com",
"sub":"app_123",
"aud":"https://api. example. com",
"exp":1730616000,
"iat":1730612400,
"scp":["wallet:read","bet:write"],
"org":"acme",
"kid":"jwks_2025_11",
"jti":"at_01HXY..."
}सार्वजनिक कुंजियाँ JWKS में प्रकाशित होती हैं; 'बच्चे' द्वारा घूर्णन।
4. 2 अपारदर्शी टोकन और आत्मनिरीक्षण
ऑथ सर्वर में 'टोकन _ स्टोर' (Redis/SQL) स्टोर करें।
आत्मनिरीक्षण: 'सक्रिय', 'स्कोप', 'एक्सपी', 'क्लाइंट _ आईडी', 'org', 'किरायेदार'।
5) स्कोप, भूमिकाएं और पहुंच नीतियां
स्कोप्स संचालन का वर्णन करते हैं ('बटुआ: पढ़ें', 'बटुआ: लिखें', 'रिपोर्ट: पढ़ें')।
भूमिकाएँ कुल स्कोप ('डेवलपर', 'बिलिंग')।
ABAC: विशेषताएं 'org', 'किरायेदार', 'क्षेत्र', 'पर्यावरण'।
राजनेता: "यह कुंजी केवल 'यूरोपीय संघ-पश्चिम -1' और 'पढ़ें' है।"
चरण-अप: महत्वपूर्ण विधियों के लिए विस्तारित स्कोप या एमटीएलएस की आवश्यकता होती है।
6) कोटा, सीमा और शुल्क
दर सीमा: आरपीएस/आरपीएम, फट।
कोटा: दिन/महीना, क्रेडिट।
कुंजी/अनुप्रयोग/संगठन/किरायेदार द्वारा।
पोर्टल उपयोग को दर्शाता है, हेडर 'एक्स-रेटलिमिट-' और 'एक्स-कोटा', साथ ही ओवरएज पूर्वानुमान।
बिलिंग: एक योजना के साथ जोड़ ना, घटनाओं, चालान और बिलिंग वेबहूक द्वारा पैमाइश।
7) वेबहुक प्रबंधन
समापन बिंदुओं, रहस्यों, घटना संस्करणों का पंजीकरण।
परीक्षण वितरण और फिर से खेलना; रेट्री लॉग (2xx/4xx/5xx)।
HMAC हस्ताक्षर ('X-Signature'), 'X-Webhook-Id', deduplication, '410' का सम्मान करें।
8) प्रलेखन और एसडीके
SDK ऑटो-जनरेशन के साथ OpenAPI/AsyncAPI।
कुकबुक: अनुरोध, रिट्रे, आइडेम्पोटेंस, पैगिनेशन, वेबहुक के उदाहरण।
कोशिश करें-यह खेल का मैदान (रेत की चाबियों के साथ)।
संस्करण Changelog और अवसादों का पृष्ठ।
9) सैंडबॉक्स और परीक्षण डेटा
पृथक वातावरण: 'सैंडबॉक्स', 'मंचन', 'उत्पादन'।
टेस्ट इकाइयां (खिलाड़ी, लेनदेन) और स्क्रिप्ट (जीत/हार, देरी, 5xx, 429)।
पोर्टल से डेटा बीजन और रीसेट वातावरण।
10) रहस्यों की सुरक्षा और भंडारण
रहस्यों की एपीआई कुंजी हैश (स्पष्ट पाठ में संग्रहीत न करें); एक बार कुंजी दिखाएँ।
हस्ताक्षर टोकन के लिए गुप्त प्रबंधक (केएमएस/एचएसएम); 'बच्चे' कुंजियों का घुमाव।
आईपी एलोविस्ट, भू-बाधाएं, एएसएन फिल्टर।
2FA/SSO, हार्डवेयर कुंजियाँ (WebAuthn)।
दुरुपयोग के खिलाफ सुरक्षा: CAPTCHA बनाते समय, एंटी-बॉट हेयूरिस्टिक्स, पंजीकरण गति।
PII/रहस्य के बिना लॉग; पैटर्न द्वारा नया।
11) लेखा परीक्षा और अनुपालन
ऑडिट लॉग: जिसने कुंजी बनाई/देखी/निरस्त की, वेबहुक बदल दिया, रिपोर्ट डाउनलोड की।
GDPR/DSAR - डाउनलोड और एप्लिकेशन/संगठन डेटा मिटाएँ।
प्रतिधारण नीतियां: लॉग के लिए टीटीएल, घटनाओं के लिए कानूनी पकड़।
उपयोग/उचित उपयोग और निर्यात प्रतिबंध की शर्तें।
12) प्रशासन और संचालन
घटना/समझौता द्वारा टोकन का द्रव्यमान याद।
कारण और अपील के साथ आवेदन (निलंबित) का अस्थायी निलंबन।
कुंजी रोल ओवर (दो-कुंजी मोड: 'सक्रिय/अगला').
हादसा कॉम: स्थिति पृष्ठ, मेलिंग, आरएसएस/वेबहूक स्थिति।
13) यूआई/यूएक्स पोर्टल (कुंजी स्क्रीन)
संगठन डैशबोर्ड: उपयोग/त्रुटियां/एसएलओ/बिलिंग।
आवेदन: कुंजी, टोकन, स्कोप, सीमा, वेबहूक, वातावरण।
फिल्टर और रिप्ले बटन के साथ वेबहुक डिलीवरी लॉग।
टोकन कंसोल: जारी/रिकॉल, इतिहास, कारण।
प्रलेखन और एसडीके, क्विकस्टार्ट, कोड नमूने (कॉपी-पेस्ट)।
धारा "मूल्यह्रास और प्रवास"।
14) अनुबंध और कॉन्फ़िग के उदाहरण
14. 1 OpenAPI (स्निपेट्स)
yaml paths:
/v1/apps:
post:
summary: Create app security: [{ oauth2: [admin:apps. write] }]
responses:
'201': { description: Created }
/v1/apps/{app_id}/keys:
post:
summary: Create API key (shown once)
responses:
'201': { description: Created }
/v1/oauth2/token:
post:
summary: Token endpoint (CC/AC)
responses:
'200': { description: Access token }
/v1/tokens/revoke:
post:
summary: Revoke access/refresh token responses:
'204': { description: Revoked }14. 2 आत्मनिरीक्षण टोकन (उत्तर)
json
{
"active": true,
"client_id": "app_123",
"scope": "wallet:read bet:write",
"org": "acme",
"exp": 1730616000,
"token_type": "access_token",
"jti": "at_01HXY..."
}14. 3 प्रमुख नीति (JSON)
json
{
"app_id":"app_123",
"plan":"pro-2025",
"scopes":["wallet:read","report:read"],
"limits":{"rps":50,"daily_requests":250000},
"regions":["eu-west-1"],
"ip_allow":["192. 0. 2. 0/24"]
}15) वर्शनिंग और एस्क्रो प्रक्रियाएं
सिमेंटिक एपीआई संस्करण ('/v1 ', '/v2'), ऐड-डू-नॉट-ब्रेक संगतता।
पोर्टल दिखाता है: "क्या अप्रचलित हो जाता है", किस तारीख तक, और "कैसे पलायन करना है।"
माइग्रेशन गाइड, टेस्ट सैंडबॉक्स 'v2', डुअल-राइट/डुअल-रीड जहां भी संभव हो।
16) अवलोकन और रिपोर्टिंग
उपयोग → राजस्व: अनुरोध/क्रेडिट/ओवरले शेड्यूल।
स्थिति/' त्रुटि _ कोड ', विलंबता हिस्टोग्राम द्वारा त्रुटियाँ.
SLO विजेट: कुंजी हैंडल के लिए पहुँच और p95।
CSV/JSON, रिपोर्ट के वेबहुक, एनालिटिक्स के लिए API निर्यात करें।
17) चेकलिस्ट
17. 1 सुरक्षा
- , डोमेन/मेल पुष्टि
- एक बार रहस्य दिखाएँ, हैश भंडारण
- JWKS और प्रमुख रोटेशन, 'किड'
- mTLS (पूर्व), IP allowist, geo/ASN फ़िल्टर
- एंटी-बॉट/एंटी-एब्यूज, प्रमुख पीढ़ी पर दर-सीमा
- क्रियाओं और पहुँच का लेखा परीक्षा लॉग
17. 2 डीएक्स/ऑनबोर्डिंग
- क्विकस्टार्ट ≤ 5 मिनट
- SDK (TS/Py/Java/Go/.NET) एक ही सतह के साथ
- खेल का मैदान + रेत की चाबियाँ
- कुकबुक: वेबहुक, पैगिनेशन, रिट्रीट, आइडेम्पोटेंस
- सीमाएं/योजनाएं/मूल्य निर्धारण पृष्ठ
- कॉपी-पेस्ट उदाहरण
17. 3 ऑपरेशन
- मास टोकन रिकॉल, निलंबित ऐप
- हादसा/स्थिति पृष्ठ + सदस्यता
- वेबहूक के लिए डीएलक्यू/रिप्ले
- निकट कोटा थकावट के लिए ऑटो-अलर्ट
- मासिक रिपोर्ट और चालान
18) कार्यान्वयन योजना (3 पुनरावृत्ति)
पुनरावृत्ति 1 - एमवीपी (2-3 सप्ताह):- ऑर्ग/एप्लिकेशन का पंजीकरण, एपीआई कुंजियों का जारी करना, क्लाइंट क्रेडेंशियल्स, बुनियादी सीमा (आरपीएस/कोटा), अनुरोध लॉग और उपयोग रेखांकन, प्रलेखन और एसडीके टीएस/पायथन, सैंडबॉक्स।
- JWT + JWKS, मुख्य रोटेशन, रिफ्रेश टोकन + रोटेट-ऑन-यूज, अनिवार्य 2FA/SSO, वेबहूक (हस्ताक्षर, रिट्रीट, लॉगिंग, रीप्ले), बिलिंग वेबहुक, रिपोर्ट और निर्यात, भूमिकाएं और ABAAAAAAAC C C C C C C C C S S S S S S S S S को।
- mTLS, व्यवस्थापक उपकरण (मास रिवोक/सस्पेंड), कमी और माइग्रेशन v2, जावा/गो/.NET SDK, फिनप्स डैशबोर्ड, GDPR/DSAR, लीगल होल्ड, उन्नत विरोधी।
19) मिनी-एफएक्यू
JWT या अपारदर्शी?
JWT Auth सर्वर (हस्ताक्षर/' बच्चा ') से पूछे बिना सुविधाजनक है, अपारदर्शी सामग्री को निरस्त करना और छिपाना आसान है। दोनों का उपयोग अक्सर किया जाता है: बाहरी रूप से JWT, आत्मनिरीक्षण के साथ आंतरिक रूप से अपारदर्शी।
एक्सेस टोकन कब तक रहता है?
शॉर्ट: कस्टम के लिए 5-15 मिनट, मशीन के लिए 15-60 मिनट। ताज़ा यांत्रिकी द्वारा मुआवजा।
कैसे सुरक्षित रूप से कुंजी घुमाएँ?
'सक्रिय/अगला' रखें, दोनों को JWKS पर रखें, 'बच्चे' द्वारा ग्राहकों को स्विच करें, फिर पुराने को याद करें।
कुल
एक मजबूत डेवलपर पोर्टल डिफ़ॉल्ट रूप से स्व-सेवा, अवलोकन और सुरक्षा है। टोकन जारी करने/घूमने/रद्द करने, पारदर्शी सीमा और बिलिंग, उच्च गुणवत्ता वाले प्रलेखन और एसडीके, विश्वसनीय वेबहूक और ऑडिट के लिए स्पष्ट प्रक्रियाएं दें। फिर इंटीग्रेटर जल्दी से शुरू हो जाएंगे, और आपका प्लेटफॉर्म लोड के तहत प्रबंधनीय, अनुपालन और स्थिर रहेगा।