Chaves API, tokens e mandatos de acesso: autenticação segura

Texto completo do artigo

1) Porquê tudo isto, um modelo de ameaças para iGaming

Dinheiro e PII, comprometimento da chave, fugas, multas.

Integração de rede: dezenas de provedores externos, diferentes regiões/licenças.

Taxas de SLA elevadas: pagamento simples ou tirado - riscos de reputação e legais.

Conclusão: Autenticação e autorização devem ser «padrão seguro», com o mínimo de privilégios e observabilidade rígida.

---

2) Ferramentas: o que temos no arsenal

Chave API: identificadores estáticos do cliente. Integração simples, alto risco de fuga.

OAUTh2: Toquins de curta duração com scope/audiência.

mTLS: Verificação TLS mútua, forte ligação do cliente ao canal.

assinaturas: integridade criptográfica do corpo da solicitação e proteção contra réplicas (timestamp + nonte).

Proof-of-Position: MTLS-bound token ou DPoP (assinando a solicitação HTTP com a chave do cliente).

JWT/PASETO: tokens autodeclaráveis (preferencialmente com TTL curto).

RBAC/ABAC: papel/atributo-bazd autorização (RRA/decisões de políticas).

Mandatos de acesso temporários (delegation/STS): bilhetes limitados para um cenário específico.

---

3) Princípios básicos («pares-sinais»)

1. Least Privilege: Cada chave/token é o mínimo de permissões possíveis.

2. Short-lived by default: TTL minutos, não dias. A rotação é automática.

3. Bind to channel: Vincular os tokens ao mTLS/DPoP → é inútil quando o vazamento.

4. Per-brand/region: chaves/certificados e permissões - para marca/licença/região.

5. No shared secret em código: segredos apenas Vault/HSM/KMS, nem Git/logs.

6. Auditoria WORM: logs imutáveis de todas as operações/rotações.

7. Idempotidade em passagens write, qualquer repetição com a mesma chave não muda o dinheiro pela segunda vez.

---

4) Quando usar o quê (contexto iGaming)

---

5) Design de mandatos de acesso (scopes, audiências, condições)

Scope-s (exemplos):

• `bets:write`, `settlements:write`, `wallet:credit`, `wallet:debit`, `rg:read`, `rg:enforce`, `jackpot:trigger`.

Audience: para quem é endereçado o token (por exemplo, 'aud: wallet. api`).

Constraints (fine-grained):

• `brand_id`, `region`, `ip/cidr`, `time_of_day`, `rate_limit`, `max_amount`.
• Armazenados em token (JWT claims) ou em um «mandato» no Vault/STS.

---

6) Flow de referência

6. 1 Plataforma ⇄ RGS: dinheiro RPC

1. mTLS handshake (certificados per brand/region).

2. OAUTh2 CC: RGS recebe 'access _ tocen' (TTL 2-5 min, 'aud = wallet. api`, `scope=bets:write settlements:write`).

3. Consulta 'POST/v1/bets/autorize' com cabeçalhos:

• `Authorization: Bearer `, `X-Idempotency-Key`, `X-Trace-Id`.
• 4. Resposta + entrada na auditoria WORM (quem/o/o/o/o).
• 5. A rotação do token é silenciosa, depois é uma repetição da CC.

6. 2 Webhooks plataforma → provedor

Título de 'X-Mensagem: eddsa = ' ou 'sha256 =...', 'X-Timestamp', 'X-Nince'.

O provedor verifica a janela de validade, o descartável, a assinatura do corpo.

Se você não estiver disponível, retrai c backoff, deadup por 'event _ id'.

6. 3 Delegação (serviço de jackpot → carteira)

O JP chama o STS: «Dá um tocador temporário em 'wallet: credit' para 'player _ id = p _...', soma ≤ X, TTL 2 min».

O STS verifica a política/limite → emite o mandato (token estreito).

A JP empresta a carteira com este token. Comprometer esse tipo de tocador não faz sentido, TTL curto, direitos apertados, atrelado a mTLS.

---

7) Projetos de consulta

7. 1 Idempotidade (obrigatório)

POST /v1/bets/settle
Authorization: Bearer <MTLS-bound>
X-Idempotency-Key: settle_r_8c12_1
X-Trace-Id: tr_a1b2
{
"bet_id":"b_001",  "round_id":"r_8c12",  "win":{"amount":1460,"currency":"EUR"}
}
→ 200 { "status":"credited", "settlement_id":"st_77" }
(repetição com a mesma chave → a mesma resposta)

7. 2 Assinatura do webhook (HMAC)

X-Signature: sha256=BASE64(HMAC(secret, timestamp + "." + nonce + "." + body))
X-Timestamp: 1730000000
X-Nonce: 1f7a...

---

8) Gerenciamento de segredos e chaves

Vault/HSM/KMS: geração, armazenamento, rotação, revisão.

Por ambiente: sandbox/prod - diferentes raízes de confiança.

Para marca/região: chaves individuais e certificados.

Roteiro automático: cron/alertas; os períodos overlap são para substituições silenciosas.

Proibição de código/logs: segredos não são escritos em stdout, não entram em repostos crash.

Device/Workload identity: SPIFFE/SPIRE, K8s ServiceAccount → mTLS sem segredos manuais.

---

9) Políticas de autorização (RBAC/ABAC) e OPA

RBAC: роли «rgs», «wallet», «jackpot», «reporting».

ABAC: as regras "se 'region = EU' e 'brand = A' permitir 'wallet: credit' n' 10k '.

OPA/REGO ou similares: tomada de decisão centralizada, versionização de políticas, testes secos.

---

10) Observação e auditoria

«trace _ id» e «cliente _ id» são completos em cada solicitação/evento.

Métricas: p50/p95/p99 latency por endpoentes, error-rate por códigos ('AUTH _ FAILED', 'SCOPE _ DENIED', 'IDEMPOTENCY _ MISMATCH'), taxa de rotação, proporção de tocantes vencidos

Registro WORM: emissão/críticas de tokens, mudança de chaves, alteração de políticas.

Alerts: «AUTH _ FAILED», anomalias por geo/ASN, crescimento «vencido/retirado»> limiar.

---

11) Residência regional e segmentação

Os tokens/certificados estão ligados à região (EU/UK/BR/...).

Com a marca «region», as passarelas de plataforma proíbem chamadas cruzadas-regionais.

KMS e cluster Vault separados por região; as chaves não são «conduzidas» entre regiões.

---

12) Incidentes e críticas

Compromise playbook: revoke instantâneo chaves/tokens, bloco de redes/ASN, encerramento scope.

Kill-switch em nível de gateway: «no new sessions/funds».

«Como entrou no logs/repositório», «por que o DLP/scanner de segredos não funcionou».

---

13) Folhas de cheque

A. Para a plataforma

• Todos os caminhos write são mTLS + OAuth2 CC (TTL ≤ 5 min), 'X-Idempotency-Key', 'X-Trace-Id'.
• Webhooks: HMAC/EdDSA + timestamp + nonte, deadup por 'event _ id'.
• Kaystore: Vault/HSM/KMS, rotação e revisão, divisão per brand/region.
• ORA/políticas: RBAC/ABAC, registros de alterações, testes.
• Auditoria WORM e SLO-dashboard (latency, erro, revoke/rotate).
• Dr./xaoc-ensinamentos: tokens decrescentes, troca de assinatura, MITM sem mTLS.

B. Para o provedor (RGS/live/JP)

• Não guardo segredos no código; uso Vault/substituição através de variáveis de ambiente.
• Rotação automática de tokens; handle 401/403 atualizado.
• Assino webhooks/verifico janelas de validade e descartabilidade.
• Audito as ações-chave e respondo ao Deprecation/Sunset títulos.
• Idempotidade em todas as chamadas write, dedução por 'Idempotency-Key'.

---

14) Anti-pattern (bandeiras vermelhas)

Chave API estática sem data de validade em venda.

Toquens Bearer sem vínculo com o canal (sem MTLS/DPoP).

Armazenamento de segredos em Git/CI/config frontend.

Chave/certificado comum para várias marcas/regiões.

Webhooks sem assinatura ou janela de tempo → réplica.

Não há um registro centralizado nem um registro WORM.

Falta de idempotação → duplicação de débitos/empréstimos.

---

15) Mini-modelos de política (por exemplo, humano)

Mandato 'rgs→wallet' (EU, brand A):

• `aud=wallet. api`, `scope=["bets:write","settlements:write"]`
• `constraints: region=EU, brand=A, ip in {asn:…}, max_amount=5000 EUR, ttl=300s`
• `binding: mTLS(cert_hash=sha256:…)`

Webhook 'wallet. credit. ok`:

• 'alg = Ed25519', janela 'pra 300s', 'nce' é único, o 'evento _ id' 24 horas.

---

Autenticação segura no iGaming é uma combinação de práticas: mandatos de curta duração, vinculação ao canal (mTLS/DPoP), scope/audiência estreita, idempotidade rigorosa, Vault/HSM e auditoria WORM, segmentação regional e observabilidade. Tal pilha não interfere na velocidade das integrações, mas reduz drasticamente o risco de fugas e incidentes financeiros - dinheiro e dados permanecem sob controle, os upgrades passam previsivelmente e a complicação é executada «a partir da caixa».