GH GambleHub

S2S-authentication

S2S аутентификатсия исбот мекунад, ки кадом хидмат/ҷараёни кор дархостро иҷро мекунад ва ба он ҳадди аққали ҳуқуқҳои заруриро барои муддати маҳдуд медиҳад. Баръакси ҷараёнҳои корбар, дар ин ҷо касе нест - аз ин рӯ, мӯҳлати кӯтоҳи эътимоднома, ҳатмии криптографӣ ба машқ/канал ва мушоҳидаҳои возеҳ муҳим аст.

1) Ҳадафҳо ва принсипҳо

Бо нобаёнӣ ба сифр эътимод кунед: ба шабака эътимод накунед, танҳо сертификатсияи машқ ва криптография.
Қарзҳои кӯтоҳмуддат: дақиқаҳо, на рӯзҳо/моҳҳо.
Ҳатмии матн: иҷорагир/минтақа/литсензия/аудитория/миқёс.
Барориши мутамарказ, санҷиши ғайримарказӣ: STS/IDP + санҷиши маҳаллӣ.
Имтиёзҳои ҳадди аққал ва ҳайати возеҳ: танҳо миқёс ва аудити зарурӣ.
Гардиши "бе дард": тирезаҳои дугона/дугона-сертификат ва автоматизатсия.

2) Модели таҳдид (ҳадди аққал)

Дуздии асрори дарозумр (API-калидҳо, ҶТ-и дарозумр).
Ғоратгарӣ дар доираи VPC/кластер.
Ҳамлаҳои байниминтақавӣ дар сегментатсияи шикаста.
Такрори/иваз кардани трафики прокси.
Иваз кардани тасвири занҷир/контейнер.
Хатогиҳои конфигуратсия (қоидаҳои васеи firewall/mesh, JWKS умумӣ барои ҳама).

3) Намунаҳои асосӣ S2S

3. 1 МТЛС (сертификатҳои тарафайн)

Шумо кистед: аз ҷониби канал исбот мешавад.
Шаҳодатномаҳои кӯтоҳмуддат (рӯзона) аз PKI дохилӣ; озодкунӣ/гардиш аз ҷониби mesh/sidecar ё агенти SPIRE идора карда мешавад.
Хуб барои "ҳамсояҳо" дар ҳамон домени эътимод ва нишонаҳои ҳатмӣ.

3. 2 Хизматрасонии JWT (STS)

Шумо кистед: бо як паём исбот мекунад.
Дастрасии кӯтоҳ JWT (2-5 дақиқа) бо 'aud', 'scp', 'иҷорагир', 'минтақа'.
Аломатҳои KMS/HSM, калидҳои оммавӣ - тавассути JWKS бо 'кӯдак' ва гардиш.
Ба таври маҳаллӣ санҷед (ягон занги шабакавии IDP нест).

3. 3 SPIFFE/SPIRE (SVID)

Шахсияти умумиҷаҳонии коргарон: 'spiffe ://trust-domain/ns/< ns >/sa/< sa>'.
Барориши худкор/гардиш X.509/JWT-SVID, ҳамгироӣ бо Istio/Linkerd.

3. 4 ОА бут 2. 1 Маълумоти муштариён/Биржаи токен (RFC 8693)

Мизоҷони мошин аломати STS мегиранд; барои амалҳои "аз номи" корбар - OBO (мубодилаи токен).

Комбинат: mTLS барои канал, JWT барои паём, SPIFFE барои шахсиятҳои устувор.

4) Меъмории истинод


[KMS/HSM]       [Policy Store / PDP]

[STS/IdP (issuer)] ── JWKS ──[Gateway/PEP] ─────[Services/PEP]
│
SVID/JWT │         │    │      │
(SPIRE/Istio)│      mTLS/DPoP  │    mTLS/DPoP
│         │    │      │
[Workload/Sidecar]─────────┴───────┴────────────┘

Эмитент (STS/ID): хидмати кӯтоҳ JWT/CVID мебарорад, JWKS-ро нашр мекунад.
Gateway (PEP): мӯҳлати шабака, MTLS/JWT-ро тасдиқ мекунад, контекстро ғанӣ мекунад, PDP-ро талаб мекунад.
Хидматҳо (PEP) - мудофиаи амиқ, кэши ҳалли ҲХДТ.
SPIRE/фикрию: сертификатҳои худкор ва SVID барои m-TLS.

5) Формати хидмати JWT (мисол)

json
{
"iss": "https://sts. core",
"sub": "svc. catalog, "//service identity
"aud": ["svc. search"] ,//target service/domain
"exp": 1730390100, "iat": 1730389800,
"tenant": "brand_eu",
"region": "EE",
"scp": ["catalog:read:public","catalog:read:tenant"],
"mtls": { "bound": true, "spiffe": "spiffe://core/ns/prod/sa/catalog" }
}

ES256/EdDSA имзошуда, 'кӯдак' калиди фаъолро нишон медиҳад.
Ҳатмии ихтиёрӣ ба канал: парчам, ҳаш сертификат, SVID.

6) Сиёсати барориши (STS) ва санҷиш

Масъала:
  • Мавзӯъ аз феҳристи SVID/муштарӣ/муштарӣ гирифта мешавад.
  • Давомнокии умр 2-5 дақиқа, ҳеҷ чизро тароват надиҳед - ба ҷои STS бори дигар бипурсед.
  • Соҳаҳо/шунавандагон на аз дархости муштариён, балки аз Store Store Store гирифта мешаванд.
Санҷиш (PEP):

1. МТЛС (ихтиёрӣ) ва дурустии занҷирро санҷед.

2. Имзои JWT-ро аз ҷониби JWKS санҷед (аз ҷониби 'кӯдак').

3. Санҷиши 'exp/nbf/iss/aud', иҷорагир/минтақа/литсензия.

4. Контекстро ғанӣ созед ва аз PDP (RBAC/ABAC/Re-BAC) пурсед.

5. Ҳалли кэши PDP (TTL 30-120 s), маъюбии ҳодисаҳо.

7) Бисёр иҷорагир ва минтақаҳо (доменҳои эътимод)

Доменҳои алоҳидаи эътимод: 'spiffe ://eu. аслӣ ',' spiffe ://latam. аслӣ '.
JWKS/PKI алоҳида аз рӯи минтақа; interregion - танҳо тавассути дарвозаҳои боэътимод.
Дар маркаҳо 'иҷорагир/минтақа/литсензия' -ро дохил кунед ва мувофиқати захираҳоро тафтиш кунед.
Гузоришҳо/аудити сегментҳо аз ҷониби иҷорагирон ва минтақаҳо.

8) Ҳолати Mesh/sidecar ва no-mesh

Istio/Linkerd: mTLS аз қуттӣ, татбиқи сиёсат дар сатҳи L4/L7, ҳамгироӣ бо SPIRE.
Бе тор: китобхонаи муштарӣ + TLS мутақобила дар барнома; идора кардани гардиш мушкилтар аст - автоматизатсия тавассути агент.

9) Калидҳо, JWKS ва гардиш

Калидҳои хусусӣ танҳо дар KMS/HSM; имзо - бо роҳи занг/маҷмӯи дурдаст.
Ротатсия ҳар рӯз N; калиди дугона: кӯҳна + нав қабул карда мешавад, пас аз гарм кардани кэшҳо аломатҳои нав ба вуҷуд меоянд.
Мониторинг: ҳиссаи истеъмол аз ҷониби 'кӯдак', мизоҷонро дар калиди кӯҳна овезон кард.

Намунаи танзимот (YAML): 
yaml issuer:
jwks:
alg: ES256 rotation_days: 30 publish_cache_ttl: 60s sts:
access_ttl: 5m audience_policies:
- subject: "svc. catalog"
allow: ["svc. search","svc. wallet"]
scopes: ["catalog:read:"]
tenancy:
claims: ["tenant","region","licence"]
jwks_per_region: true

10) Пайвастшавӣ бо пайванд (DP BP/MTLS-вобаста)

Нишонаҳои ба M-TLS басташуда: ба JWT hash шаҳодатномаи муштарӣ илова кунед; ҳангоми қабул санҷед.

DP oP: барои мизоҷони HTTP бидуни m

11) Сиёсати хатогиҳо ва бозгашт

Стандартикунонии рамзҳо:
  • '401 INVALID_TOKEN'/'EXPIRED_TOKEN'/'AUD_MISMATCH'.
  • '401 MTLS_REQUIRED'/'MTLS_CERT_INVALID'.
  • '403 INSUFFICIENT_SCOPE'/'POLICY_DENY'.
  • '429 RATE_LIMITED'.

Ҷавоб дорои 'хатогии _ код' ва 'as _ of' (нусхаи калид/сиёсат) мебошад.

12) Мушоҳида ва аудит

Нишондиҳандаҳо:
  • 's2s _ auth _ p95 _ ms', 'тафтиш _ jwt _ p95 _ ms', 'jwks _ skew _ ms',
  • 'invalid _ token _ rate', 'aud _ mismatch _ rate', 'нокифоя _ scope _ rate',
  • истеъмол аз ҷониби 'кудак', таносуби дархостҳои марбут ба m-TLS.
Гузоришҳо/Роҳчаҳо:
  • 'subject', 'aud', 'иҷорагир', 'минтақа', 'scp', 'kid', 'sid/svid', 'қарор', 'policy _ version', 'trace _ id'.
Аудит (тағйирнопазир):
  • Барориши токен, гардиши калидӣ, тағироти сиёсат, дархостҳо рад карда шуданд.

13) Иҷро

Санҷиши JWT - маҳаллӣ, кэш JWKS (TTL 30-60 s) бо навсозии замина.
Занҷирҳои X.509 - CA pinning ва кэш OCSP/CRL.
Санҷиши гаронбаҳои I/O-ро ба дарвоза/sidecar биёред.
Нишонаҳо/сертификатҳои prefetch-ро истифода баред (10-20 сония пеш аз мӯҳлат).

14) Санҷиш

Шартнома/мудохила: NP/китобхонаҳои гуногун, қуттии соат ± 300 с.
Манфӣ: аломати мӯҳлати истифодашуда/қалбакӣ, нодуруст 'aud', минтақаи нодуруст/иҷорагир, занҷири вайроншудаи сертификат.

Бесарусомонӣ: гардиши ногаҳонии 'кӯдак', дастнорас будани JWKS, ба итмом расидани мӯҳлати кор, шикастани m

Сарборӣ: масъалаи қуллаи STS, санҷидани хӯша дар дарвоза.
E2E: танҳо MTLS, танҳо JWT, режими омехта, Token Exchange (OBO).

15) Китобҳои бозӣ (китобчаҳо)

1. Компромиссияи калиди имзо

Фавран бекор кардани 'кӯдак', баровардани нишонаҳои нав, кӯтоҳшудаи TTL, аудит, ҷустуҷӯи мизоҷони "овезон", маҷбур кардани рад кардани 'кӯдаки' кӯҳна.

2. Масс 'ИНВАЛИД _ ТОКЕНЖапос

Кэши JWKS, номувофиқатии соат, пайдоиши нишона (TTL хеле кӯтоҳ), муваққатан васеъ кардани таҳаммулпазирӣ, JWKS-ро гарм кунед.

3. MTLS-радкунӣ

Санҷиши занҷири CA, санаҳои SVID, вақти мизбон; аз нав ба кор даровардани ҳолати фавқулодда тавассути SPIRE/Istio, имкон медиҳад, ки хатсайрҳои бозгашт танҳо дар дохили минтақа ба амал оянд.

4. 'AUD _ MISMATCH' афзоиш меёбад

Кашиши сиёсати аудитория: сиёсати STS-ро бо зангҳои воқеӣ муқоиса кунед, муваққатан 'aud' илова кунед, ҷадвали ислоҳоти меъморӣ.

5. STS дастнорас/суст

TTL-и аломатҳои аллакай додашуда (файз) -ро зиёд кунед, имкон диҳед, ки STS-и пешакӣ/тароватбахшро пеш баред.

16) Хатогиҳои маъмулӣ

Калидҳои/сирри дарозмуддати API дар env/code.
Генерал JWKS/PKI "барои ҳама минтақаҳо ва ҳамеша".

Набудани ҳатмӣ (m

Миқёси васеъ 'aud =' ва "admin" бо нобаёнӣ.
Гардиш бе давраи калиди дугона → массаи 401.
Тафтиши нишонаҳо танҳо дар дарвоза (муҳофизати амиқ нест).
Нокомии "гунг" (не 'хатогӣ _ код' ва 'сабаб') - ислоҳ кардан ва таълим додани гурӯҳҳо мушкил аст.

17) Қолибҳои конфигуратсияи мини

PEP (дарвоза) - қоидаҳо: 
yaml auth:
require_mtls: true jwks:
url: https://sts. core/.well-known/jwks. json cache_ttl: 60s claims:
required: ["iss","sub","aud","exp","tenant","region"]
tenant_in_header: "x-tenant"
pdp:
endpoint: "opa:8181/v1/data/policy/allow"
decision_cache_ttl: 60s
Сиёсати STS (порча): 
yaml subjects:
- id: "svc. catalog"
spiffe: "spiffe://core/ns/prod/sa/catalog"
audiences: ["svc. search","svc. wallet"]
scopes: ["catalog:read:"]
ttl: "5m"

18) Рӯйхати санҷиши пеш аз фурӯш

  • Хидмати кӯтоҳ JWT (≤ 5 дақиқа), санҷиши маҳаллӣ, кэши JWKS.
  • m: TTLS (ё DP POP) фаъол аст; афзалиятнок - аломатҳои бо M-TLS алоқаманд.
  • SPIFFE/SPIRE ё муодили барориши худкор/гардиши шаҳодатномаҳо.
  • STS бо сиёсати аудитория/миқёс; барориши танҳо шахсияти боэътимод.
  • Ҷудокунии доменҳои эътимод ва JWKS аз рӯи минтақа; тамғаҳои иҷорагир/минтақа/литсензия тафтиш карда мешаванд.
  • Ҳамгирошудаи PDP/PEP, кэши ҳалли + маъюбӣ аз рӯи ҳодиса.
  • Тирезаҳои калидии дугона, назорати истеъмоли 'кӯдак', огоҳии номувофиқатии беэътибор/aud.
  • Гузоришҳои пурра/аудит S2S, ченакҳои иҷро/хатогӣ фаъол мебошанд.
  • Китобҳои калидӣ оид ба созиш, тарки STS, нокомии MTLS.
  • пакети санҷишӣ гузашт.

Хулоса

Аутентификатсияи S2S - ин маҷмӯи эътимод ба канал (M TLS), эътимод ба паём (кӯтоҳ JWT) ва шахсияти доимии коргар (SPIFFE) мебошад, ки аз ҷониби STS мутамарказ идора карда мешавад ва дар сатҳи маҳаллӣ тасдиқ карда мешавад. Ҷудосозии домени эътимод, аудиторияи дақиқ/миқёс, гардиши автоматӣ ва мушоҳидаҳоро илова кунед - ва шумо нақшае доред, ки дар баробари платформа ва ҷуғрофияи он боэътимод, фаҳмо ва миқёспазир аст.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Telegram
@Gamble_GC
Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.