GH GambleHub

Wspólne protokoły komunikacyjne

1) Dlaczego ekosystem potrzebuje jednolitych protokołów

Ekosystem składa się z operatorów, studios/RGS, agregatorów, PSP/APM, dostawców KYC/AML, podmiotów stowarzyszonych i usług analitycznych. Wspólne protokoły interakcji wykluczają „zoo” integracji, przyspieszają wsiadanie na pokład, zmniejszają koszty wsparcia i ryzyka incydentów, a także zapewniają kompatybilność podczas skalowania (poziomy, pionowy i przekątny).

Cele: interoperacyjność poza ramką, przewidywalne SLO, bezpieczeństwo danych, powtarzalne migracje.

2) Warstwa transportowa i formaty

HTTP/2/3, gRPC - dla synchronicznych API o niskim opóźnieniu; WebSocket - do transmisji strumieniowej/liderów; WebRTC (SRTP/QUIC) - dla treści audio/wideo na żywo.

Formaty wiadomości:
  • JSON - zewnętrzne interfejsy API B2B i haki internetowe (czytelność).
  • Protobuf/Avro - wewnętrzne połączenia autobusowe/głębokie (kompresja/ewolucja obwodów).
  • Kompresja/wiązanie: gzip/br dla JSON; zstd dla Protobuf/Avro.
  • Lokalna/godzina: ISO-8601 w UTC, kwoty w minimalnych jednostkach pieniężnych (liczba całkowita).

3) Uwierzytelnianie, autoryzacja, zaufanie

OAuth2/OIDC dla aplikacji klienckich/partnerskich (tokeny krótkotrwałe, PKCE, zakresy).
mTLS do S2S między strefami zaufanymi JWS/HMAC - podpis żądań i haków internetowych.
RBAC/ABAC: role i atrybuty (jurysdykcja, najemca, poziom ryzyka).
Klucze i obrót: KMS/Skarbiec, krótka żywotność, automatyczna rotacja (w tym JWKS).
Sterowanie Egress, domeny listy zezwoleń i ASN, DNSSEC/DoT/DoH w obszarach wrażliwych.
Izolacja lokatora: klucze na najemcę, kwoty, limity, przestrzeń nazw w oponie.

4) Umowy API (REST/gRPC) - Canon

Wersioning: '/v {n} 'w URI dla REST;' pakiet. vN 'dla gRPC. Drobna ewolucja - nieskazitelna; przełamanie zmian - poprzez nowy major. Depresja według polityki (patrz § 12).
Idempotencja: „Idempotency-Key” w odniesieniu do operacji pieniężnych POST/PUT/PATCH/operacji krytycznych; oszczędzanie na N godzin.
Paginacja: kursory („ Token”), a nie „offset/limit”; konsekwentne sortowanie.
Limity: '429 Too Many Requests' + nagłówki kwot ('X-ΔLimit-'), jitter in retras.
Błędy: kody/podkody do odczytu maszynowego, 'correlationId', mapa pola walidacji.
Czasy i rekolekcje: wykładnicze opóźnienie + jitter; nie wycofywać niebezpiecznych błędów.
Polityka zgodności: niezmienność znaczenia terenowego; nowe pola - opcjonalne.

5) Model imprezy i autobus (EDA)

Schemat rejestru: kontrakt dla każdego zdarzenia, ewolucja z kompatybilnością wsteczną.

Tematy domeny (minimum):
  • 'click', 'session', 'bet '/' spin', 'round _ start '/' round _ result',
  • 'deposit '/' withdrawal', 'psp _ auth', 'kyc _ status', 'fraud _ signal',
  • 'reward _ granted', 'leaderboard _ update', 'feature _ toggle'.
  • Klucze Party: 'plaاId',' campaignId ',' Id', ' Id' (wybór według domeny).
  • Dostawa: co najmniej raz z przedsiębiorczością; dla sumy pieniężnej - saga/txn-outbox.
  • Zamówienie: „gwarantowane zamówienie wewnątrz klucza”, cross-keys - poprzez orkiestrę.
  • Semantyka czasowa: 'Czas' + 'Czas'; dziadek do '(z ID' idempot, Key) '.

6) Haki internetowe i gwarancje dostawy

Podpis: JWS/HMAC z nie '(znacznik czasu) i' kid ', sprawdzenie okna ± 5 minut, powtórka jest zabroniona.
Retrai: backoff z jitterem do T minut, mocowanie prób, resetowanie tylko w 5xx/timeout.
Idempotencja: podpis nadwoziowy " Id'; przetwarzanie „przynajmniej raz”.
Webhook Event Registry: przeredagowanie historii po zakończeniu synchronizacji.
Bezpieczeństwo: mTLS w miarę możliwości, zezwala na listę IP/ASN, CSRF nie dotyczy kołnierzy po stronie serwera.

7) Dane i prywatność (Privacy-by-Design)

Minimizacja PII: tokenizacja identyfikatorów (pseudonimizacja 'plaاId'), oddzielenie domen danych.
Umowy na dane: DPA/DPIA, cele, okresy zatrzymywania danych, przepływy transgraniczne (kraje białostockie).
Polityka audytu/rodowodu: kto/kiedy/dlaczego; dzienniki niezmienne (WORM).
Zasady RG/etyka: zakaz agresywnych ofert dla wrażliwych segmentów; jasne ramy prawne.

8) Spójność i transakcje

Silna spójność - torebka/salda/wypłaty.
Eventual - prezentacje, lidery, telemetria.
Sagi dla rozproszonych transakcji biznesowych; odszkodowania za anulowanie.
Dokładnie raz w sensie biznesowym: idempotentne klucze i deterministyczne manipulatory.

9) Obserwowalność i SLO

Śledzenie: end-to-end 'traceId' od kliknięcia/haka internetowego do wypłaty/nagrody; rozmnażanie („traceparent W3C”).
Metryki: p50/p95/p99 API, makler lag, CR payments/CCL, liderboards E2E.
Kłody: ustrukturyzowane, bez danych osobowych; maskowanie tokenów/kluczy.
SLO-listy: login p95 ≤ 300-500 ms; depozyt p95 ≤ 1. 5–2. 0 s; zakład/spin p95 ≤ 150-250 ms; doręczenie zdarzenia ≥ 99. 9%.

10) Wydajność, kwoty, ochrona przed burzami

Ograniczenie stawki (token/wyciek wiadra) na L7 i w polityce siatki.
Backpressure: kolejki przed kruchym upstream (PSP/KYC).
Wyjście-wyrzut: automatyczne „chłodzenie” niestabilnych pleców.
Wyłącznik - zamyka gwint po przekroczeniu progów błędu/opóźnienia.
sprawiedliwy udział: kwoty według najemcy/kanału/regionu; priorytet domen krytycznych.

11) Kryteria zgodności SDK i badania

SDK: klienci HTTP/gRPC, prośba o podpisanie, przekaźniki jitter, idempotencja, kursory.
Testy kontraktowe: Postman/Newman/gRPC-conformance, PSP/KYC/studio simulators.
Matryca kompatybilności: wersje API/SDK, obsługiwane schematy, zasady zmniejszania.
Syntetyka: generatory zdarzeń i transakcji, 24/7 czarne skrzynki do monitorowania.

12) Wersioning i deponowanie (zarządzanie zmianami)

Główne uwolnienia co N miesięcy, z równoległym oknem ≥ 6-12 miesięcy.
Drobne zmiany - dodawanie opcjonalnych pól/metod jest bezstratne.
Zmniejszenie: ogłoszenie → ostrzeżenie w nagłówkach/odpowiedzi → flaga w metrykach → wyłączenie zgodnie z planem.
Migracje schematów zdarzeń - strategia dodawana + adaptery proxy na granicach.

13) Bezpieczeństwo protokołu

Zero Trust: mTLS wszędzie, krótkotrwałe wyznania wiary, zasady najmniejszego przywileju.
Tajne zakresy: oddzielenie klawiszy odczytu/zapisu/administracji.
Ochrona przed powtarzaniem: nonce/time window in signatures; zakaz ponownego użycia.
Filtry WAF/bot: ochrona przed skrobaniem/kliknięciem oszustwa; niskie fałszywe dodatnie.
Strefy sprzedawcy: mikrosegmentacja, indywidualne VPC/obszary nazw, lista zezwoleń na wyjście.

14) Incydenty i DRK

Procedury wojenne: przycisk stop dla domen (zawartość/PSP/KYC), RACI, SLA na pakiet śladowy.
Scenariusze DR: punkty wprowadzania aktywów (Anycast/GSLB), cięcia ≤ 60-90 s, ćwiczenia kwartalne.
RCA: szablony bez znalezienia winowajcy, komunikacja L3, L7, aktualizacje protokołu/SDK/Runbook.

15) Metryka sukcesu protokołu

Zgodność: odsetek partnerów, którzy zdali testy zgodności; czas wejścia na pokład (TTO).
Niezawodność: integracja uptime, p95 API/autobus, udział udanych haków internetowych.
Bezpieczeństwo: incydenty PD = 0, czas rotacji klucza, udział ruchu mTLS.
Gospodarka: koszt na rps/txn/event, spadek kosztów do obsługi, czas migracji.
Produkt: FTD/ARPU/LTV podnoszenie z normalizacji (mniej CCD/wycieków płatniczych).

16) Anty-wzory

„Wolna forma” wydarzeń: brak schematów i wersji → jazda po prezentacjach i analityce.
Pojedyncza brama L7 bez N + 1: SPOF i wąskie gardło dla haków/PSP.
Retrai Unlimited/Jitter: Traffic Storm, Transaction Double.
Surowa PD w zamian: brak tokenizacji/DPIA → ryzyko regulacyjne.
Przesunięcie paginacji: luki/duplikaty pod obciążeniem.
Sekrety „na zawsze” i statyczne IP bez kontroli.
Łamanie zmian bez równoległego okna i adapterów.

17) Lista kontrolna wdrażania

1. Akceptuj kanon API (wersioning, idempotencja, paginacja, błędy).
2. Wprowadź rejestr schematu i mapę domeny kluczy tematycznych/partyjnych.
3. Oblige mTLS + JWS/HMAC dla S2S i haków internetowych; automatyczna rotacja klucza/JWKS.
4. Ustalanie limitów/przekwalifikowań/BC/wyrzutów zewnętrznych i kwot na najemcę.
5. Rozszerzyć śledzenie/mierniki/dzienniki za pomocą jednego 'traceId'. zatwierdza listy SLO.
6. Podpisz DPA/DPIA, włącz tokenizację i zapisz/usuń zasady.
7. Utwórz SDK i zestaw zgodności; Napraw zasady wyczerpywania.
8. prowadzenie ćwiczeń DR/chaosu i rytuałów wojennych; „czarny start” na minimalnym zestawie.
9. Wdrożenie katalogu protokołu (portal partnerski): spec, przykłady, symulatory, piaskownica.

18) Plan działania na rzecz ewolucji

v1 (Fundacja): kanon REST/gRPC, podstawowe schematy wydarzeń, podpisy pod hakiem, mTLS.
v2 (Integracja): rurociąg migracyjny, testy zgodności, SDK, silnik reguły dla kwot/przekładni.
v3 (Automatyzacja): autodosing przez SLI, samoobsługowe piaskownice/symulatory, adaptery między wersjami.
v4 (Zarządzanie sieciowe): komitet protokołów między partnerami, wspólne SLO/kredyty/kary, wspólna polityka PoP/krawędzi.

Krótkie podsumowanie

Wspólne protokoły interakcji to „język” ekosystemu: jednolite umowy API i imprez, ścisłe bezpieczeństwo (mTLS/JWS), gwarancje idempotencji i dostawy, obserwowalność i SLO, migracje zarządzane i DR. Po kanonie uczestnicy są szybsi, rzadziej spadają, łatwiej skalują się i przewidywalnie rosną - z zastrzeżeniem wymogów dotyczących prywatności i jurysdykcji.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.