GH GambleHub

OAuth2/OpenID Connect

OAuth2 үстіндегі OIDC - «пайдаланушы/клиент кім» екенін дәлелдеудің және API-ге қысқа мерзімдік қолжетімділікті берудің стандартты тәсілі. Платформаның өзегінде ол орталық қабілетке айналады: клиенттер, операторлар және сервистер үшін бірыңғай кіру; ең аз артықшылықтар; өлшенетін тәуекел; өңірлік және лицензиялық ережелерді сақтау.

1) Мақсаттар мен қағидаттар

«deploy vs enable» бөлімі: кодты бөлек шығарып, жалаушалармен/саясатпен қосамыз.
Қысқа өмір сүретін токендер + қауіпсіз жаңарту: ағу кезінде залалды азайтамыз.
Мульти-тенант/өңір: барлық артефактілер 'tenant/region/licence' деп белгіленеді.
Токендер үстіндегі саясат: шешімдер PDP (RBAC/ABAC), PEP gateway/сервистерде жасайды.
Арналарды қорғау: TLS1. 2 +, мүмкіндігінше mTLS/DPoP, қатаң CORS/CSRF.
Бақылау және аудит: ағын бойынша, клиент бойынша, өңір бойынша көріну.

2) Ағындар және оларды қашан қолдану

Authorization Code + PKCE (SPA/Mobile/Web) - пайдаланушы логиндері үшін дефолт.
Device Authorization (консольдер/TV/CLI) - шолғыш болмағанда.
Client Credentials (machine-to-machine) - пайдаланушысыз сервистік интеграция.
Token Exchange (RFC 8693, OBO) - сервис пайдаланушының атынан әрекет етеді.
CIBA/Back-channel (қалауы бойынша) - редакторсыз пуш-аутентификация.

Әдепкі қосылатын кеңейтімдер:
  • PAR (Pushed Authorization Requests) - авторизация параметрлері қорғалған сервер арнасы арқылы беріледі.
  • JAR (JWT Secured Authorization) - сұрау параметрлері қол қойылған/шифрланған.
  • JARM - ауыстыруға төзімді қорғалған авторизация жауабы (JWT).
  • RAR (Rich Authorization Requests) - қол жеткізу құқығына бай сұрау салулар (егжей-тегжейлі рұқсаттар).

3) Токендер мен таңбалар

Түрлері:
  • ID Token (OIDC) - кім кірді (тек клиентке/майданға көрсету).
  • Access Token (AT) - әрекет ету құқығы (қысқа өмір).
  • Refresh Token (RT) - АТ жаңартады; тек сенімді ортада сақталады.
Мерзімдер бойынша ұсынымдар:
  • АТ: 5-15 мин (web/mobile), 2-5 мин (service-to-service).
  • RT: 7–30 дней (web/mobile) с rotation + reuse detection.
  • ID: ≤ 5 мин.
АТ ең аз таңбалары (мысал): 
json
{
"iss":"https://auth. core",
"sub":"user_42",
"aud":["wallet","catalog"],
"exp":1730388600,"iat":1730388000,
"tenant":"brand_eu","region":"EE","licence":"EE-A1",
"scp":["wallet:read","bets:place"],     // scopes
"sid ": "sess _ abcd, ""amr": [" pwd,"" webauthn"] ,//login methods
"act":{"sub":"svc. catalog" }//if OBO
}

Қол қою: ES256/EdDSA, жария кілттер - JWKS-де 'kid' және ротациясы бар.

4) Сессиялар контуры және logout

Server-side session для web (cookie `SameSite=Lax/Strict`, `HttpOnly`, `Secure`).
Back-Channel Logout + Front-Channel Logout (OIDC) - барлық клиенттердің синхронды аяқталуы.
Step-Up MFA: сезімтал әрекеттерде - қайта тексеру ('acr' жоғарылайды).
Revocation & Introspection: оқиға бойынша RT/AT дереу өшіріледі.

5) Клиенттердің қауіпсіздігі

Web/SPAs: Authorization Code + PKCE, ешқандай implicit; қатаң CORS/Content-Security-Policy.
Mobile: жүйелік браузер (AppAuth), тұтастығын тексеру (App Attestation/DeviceCheck), RT қорғалған сақтау орны.
Desktop/CLI/TV: Device Flow; RT-ті OS құпия қоймаларында сақтаңыз.
АТ құрылғысына/қосылысына байланыстыру үшін DPoP немесе mTLS-bound tokens.

6) Сервис-к-сервисі

mTLS + қысқа Service JWT (aud-scoped), KMS/HSM бар STS береді.
Workload сәйкестігі: SPIFFE/SPIRE.
Саясат "тар": "орнына нақты audience және scopes.

7) Scope-тізілім және келісім (consent)

Атауы: 'ресурс: әрекет' - 'wallet: read', 'wallet: transfer', 'bets: place', 'kyc: status. read`.

Сатып алулардың көрінуі мен сезімталдығын теңшеңіз.
Consent screen RAR/Scopes бағдарламасынан жиналады; келісу тарихын сақтаңыз және кері қайтарып алуға мүмкіндік беріңіз.

RAR мысалы (әмиян → аударма): 
json
{
"type":"wallet. transfer",
"actions":["create"],
"locations":["https://api. core/wallet"],
"datatypes":["payment"],
"resources":[{"wallet_id":"w_123","currency":"EUR","amount_max":1000}]
}

8) Авторизациямен интеграция (PDP/PEP)

API Gateway-дегі PEP AT/DPoP/mTLS-ті валидациялайды, контексті байытады (IP/ASN/region/tenant), PDP-ге сұрау салады.
PDP (OPA/cedar) RBAC/ABAC/ReBAC саясатын қолданады және түсіндірме мен TTL-мен 'ALLOW/DENY' қайтарады.
Оқиғалар бойынша мүгедектігі бар PEP (TTL 30-120 с) шешімдерінің кэші (рөлдерді/ережелерді ауыстыру).

9) Мульти-тенант және өңірлер

Барлық токендер мен сессиялар 'tenant/region/licence' деп таңбаланады; PDP ресурсқа сәйкестігін растайды.
Жеке JWKS/кілттер және өңірлер бойынша кері қайтару тізімдері; кросс-өңір - сенімді шлюздер арқылы.
Деректердің резиденттігін шектеу: интроспекция/ревокация шыққан өңірінде орындалады.

10) Хаттамалық күшейтулер

PAR + JAR + JARM - авторизация параметрлері мен жауаптарын қорғайды.
Nonce/State/PKCE - барлық ашық клиенттер үшін.
Pushed Device Authorization (жоғары тәуекел кезінде).
Ең аз таңбалары бар JWT Access Tokens + интроспекция арқылы сыртқы интеграцияға арналған opaque нұсқасы.
FAPI-ұқсас практикалар: қатаң қол қою алгоритмдері, TLS/redirect_uri/PKCE қойылатын талаптар.

11) Қателер және қайтару саясаты

Жауаптарды стандарттаңыз: 
json
{ "error":"invalid_grant", "error_description":"refresh token reused", "error_code":"RT_REUSE" }

Критичные коды: `invalid_request`, `invalid_client`, `invalid_grant`, `invalid_scope`, `unauthorized_client`, `access_denied`, `temporarily_unavailable`.
Сезімтал эндпоинттерге арналған Rate-limit ('/token ', '/introspect', '/revoke '), экспоненциалды backoff.

12) Бақылау және аудит

Өлшемдері:
  • `auth_code_success_rate`, `pkce_missing_rate`, `mfa_challenge/fail_rate`,
  • `token_issuance_p95_ms`, `jwks_skew_ms`, `invalid_token_rate`, `rt_reuse_detected`,
  • по API: `authz_p95_ms`, `deny_rate{reason}`, `dpop_mismatch_rate`, `mtls_fail_rate`.

Логи/трейсы: `client_id`, `grant_type`, `kid`, `acr/amr`, `tenant/region`, `decision`, `policy_version`, `aud`, `scp`, `sid`, `trace_id`.
Аудит (өзгермейтін): токендерді беру, құқықтарды эскалациялау, келісімдерді қайтарып алу, кілттерді ротациялау.

13) Кілттерді басқару және ротация

JWT қолы: KMS/HSM, JWKS жариялауы с 'kid'.
Dual-key кезеңі: IdP жаңасына қол қояды, тексерушілер қайта қосылғанға дейін ескісін + жаңасын қабылдайды.
Тұрақты ротация және шұғыл revoke; kid "тұтыну мониторингі.

14) Плейбуктар (runbooks)

1. Қолтаңба кілті

Дереу revoke 'kid', жаңа, форс-мүгедектігі RT/сессиялар, аудит есебін шығару.

2. Массалық 'invalid _ token '/бойы 401

Сағаттардың рассинхронын, өткен АТ, сынған JWKS-кэшін тексеру; 'clock _ skew' деген толерансты уақытша ұлғайту.

3. RT қайта пайдалану

Сессияны бұғаттау ('sid'), пайдаланушыға хабарлау, жаңа кіру үшін step-up талап ету, тексеру.

4. IdP құлдырауы

«read-only авторизациялау» режимін қосу: қолданыстағы АТ-ны TTL-ге дейін ұстап тұру, жаңа логиндерді шектеу, интроспекция кэшін тегістеу.

5. '/token 'дегенге шабуыл жасау

rate-limit/бот-сүзгілерді күшейту, сезімтал клиенттер үшін mTLS/DPoP қосу, жеке сегментке «салқын» RT шығару.

15) Тестілеу

Contract: OIDC discovery, JWKS, OpenID provider config.
Security: PKCE/nonce/state міндетті; negative-жинақтар ('redirect _ uri', reuse RT ауыстыру).
Interoperability: клиенттер (web/mobile/CLI), әртүрлі уақыт белдеулері/локальдар.
Chaos: PAR/JARM істен шығуы, JWKS кідірісі, rotated 'kid' «ұшуда».
E2E: step-up MFA, OBO (token exchange), logout (front/back-channel), revoke/rotate.

16) Конфигурация мысалдары

OIDC/Authorization Server (YAML фрагменті): 
yaml issuer: https://auth. core jwks:
rotation_days: 30 alg: ES256 tokens:
access_ttl: 10m refresh_ttl: 14d id_ttl: 5m policies:
require_pkce: true require_par: true require_jarm: true dpop_enabled: true mfa_step_up:
actions: ["wallet:transfer","payout:initiate"]
tenancy:
include_claims: ["tenant","region","licence"]
jwks_per_region: true
Scope тізілімі: 
yaml scopes:
wallet: read: {desc: "Reading balance"}
wallet: transfer: {desc: "Transfer of funds," sensitive: true, step_up: true}
bets: place: {desc: "Betting"}
kyc:status. read: {desc: "KYC status"}
roles:
player: { allow: [bets:place] }
support: { allow: [wallet:read, kyc:status. read] }
finance: { allow: [wallet:read, wallet:transfer] }

17) Азық-түлік алдындағы чек-парағы

  • PKCE/nonce/state қосылған; PAR/JAR/JARM белсенді.
  • AT/RT/ID TTL берілген; RT rotation + reuse detection қосылған.
  • Сезімтал клиенттер/операциялар үшін DPoP немесе mTLS-binding.
  • JWKS c `kid`; автоматты ротация және кілттерді тұтыну мониторингі.
  • Consent/RAR және сатып алулар тізілімі; сезімтал әрекеттерге арналған MFA step-up.
  • PDP/PEP интеграцияланған, мүгедектігі бар шешімдердің кэші.
  • Токендерде 'tenant/region/licence' бар; residency сақталады.
  • Бақылау қабілеті: метрика, логия, трассировка; 'invalid _ token', 'rt _ reuse', 'jwks _ skew'.
  • revoke/rotate/lockdown-дағы ойнатқыштар; авариялық логаут түймешігі.
  • E2E/chaos/interop тесттер жиынтығы стендтерде өткізілді.

Қорытынды

Платформалық қабілеттілік ретінде OAuth2/OIDC ендіру арқылы сіз болжамды авторизация ағындарын, басқарылатын белгілерді, бірыңғай кіру саясатын және өлшенетін тәуекелді аласыз. Қысқа АТ, RT қорғалған, кілттерді ротациялау, PAR/JARM/DPoP, келісім және step-up - бұл қауіпсіздікті әдепкі ететін, ал эволюцияны командалар мен серіктестерге тез және ауыртпалықсыз ететін тәжірибелер.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.