Realtime fid事件：建築與安全

Real time fid events是具有遊戲化，防凍性，CRM觸發器和付款的產品的「循環系統」。為了使它在峰值時可以預見地工作，不重復獎勵或泄漏數據，我們需要嚴格的體系結構：從協議和輪胎到簽名，等效性，預算私有和可觀察性。

---

1）目標和要求

可靠性：最小滯後事件交付（p95 ≤ 250 ms ingest，p95 ≤ 1-2與消費者）。

運送：通過等效性進行運送+邏輯運算。

順序：使用重新排序窗口按鍵（通常為「user_id」）排序。

安全性：MTLS, HMAC/JWT,按鍵旋轉,復制/重復保護,PII最小化。

比例尺：水平沖壓、背壓、等級限制、DLQ/反射。

可管理性：計劃註冊、轉換、無停機遷移。

合規性：審計（WORM），RG/KYC門戶，地理政策，GDPR/匿名化。

---

2）參考架構（逐層）

1.生產者（來源）：遊戲服務器，錢包/付款，KYC/AML，客戶端SDK（web/iOS/Android）。

2.網關API （Ingress）： HTTP/gRPC接收、電路驗證、身份驗證、HMAC/MTLS、時間正常化。

3.Queue/Stream：Kafka/Rabbit/Cloud Pub/Sub-緩沖區，通過「user_id」分期付款。

4.流處理器：規範化，豐富，主題路由，anormalia/antibot標誌，等速記錄。

5.消費者：規則/比分，Reward Orchestrator，CRM/CDP連接器，防凍劑，分析尖叫器和。

6.Storage：原始事件（immutable），店面，等效性索引，審核日誌。

7.Observability： 度量，標誌，跟蹤，Alertes；panics → DLQ.

8.Admin Plane： schema registry,鑰匙/秘密,RBAC/ABAC, ficheflagi, replay服務。

---

3）交付協議： 何時使用

HTTP/JSON（服務器到服務器網絡手冊）：簡單,兼容,對外部合作夥伴有好處。添加HMAC+冪等。

gRPC/Protobuf：低延遲，嚴格的電路，內部服務的雙流。

WebSocket/SSE：推入客戶端，UI訂閱領導板和進度。

CDC/Kafka Connect：當來源是DB/錢包而不是業務服務時。

建議：外圍-HTTP+HMAC+MTLS；內部-gRPC/Protobuf。

---

4）事件模型和慣例

json
{
"event_id": "e_01HF3Z8Z7Q8Q2K",  "event_type": "bet",  "schema_version": "1.3.0",  "occurred_at": "2025-10-24T11:37:21Z",  "ingested_at": "2025-10-24T11:37:21.183Z",  "key": { "user_id": "u_12345" },  "ctx": {
"session_id": "s_778",   "platform": "ios",   "geo": "TR",   "device_fp": "fp_4a1..."
},  "payload": {
"game_id": "slot_wolf",   "bet": 0.5,   "win": 1.25,   "currency": "EUR",   "provider": "GameCo"
},  "sig": {
"algo": "HMAC-SHA256",   "kid": "k_2025_10",   "ts": 1730061441,   "mac": "c7b7b3...f1"
}
}

規則：

• 兩個時間是「occurred_at」（來源）和「ingested_at」（網關）。允許時鐘漂移± 300秒。
• 路由密鑰是定義順序的東西（通常為「user_id」）。
• 根據最小化原理，PII僅在「ctx」/「payload」中；對於敏感屬性-令牌化。

---

5）交貨，訂單和平均水平

在一次運輸中→可以重復和重新排序。

Exactly-once邏輯：通過「（event_id）」和/或「（user_id，source_seq）」保持具有唯一索引的冪等表；重播是no op。

SQL草圖：

sql
CREATE TABLE event_log (
event_id TEXT PRIMARY KEY,  user_id TEXT,  event_type TEXT,  occurred_at TIMESTAMPTZ,  payload JSONB
);

-帶雙重保護的插入
INSERT INTO event_log(event_id, user_id, event_type, occurred_at, payload)
VALUES (:event_id,:user_id,:event_type,:occurred_at,:payload)
ON CONFLICT (event_id) DO NOTHING;

順序：在處理器中通過「user_id」+重新排序窗口60-120分批流。後來的事件進入糾正功能的「重播」（重播）。

---

6）背景和峰值管理

Token-bucket rate limiting на ingress (per-IP, per-partner, per-key).

巡回賽決勝局：內部消費者5xx →退化（可選事件的擱置，隊列增加回避間隔）。

DLQ：永久錯誤消息（位圖、無效簽名、超過TTL簽名）。

Replay service：通過「event_id」/時間範圍從 DLQ進行選擇性復制。

---

7）方案和演變： 如何不是「打破」prod

Schema Registry: JSON Schema/Protobuf;兼容性策略： 生產者回頭,消費者前進.

轉化：「schema_version」，大調-僅通過ficheflag和雙重記錄（雙寫）。

合約：加那利時期後計劃推廣和綠色計量。

驗證規則的YAML示例：

yaml compatibility:
enforce: true mode: backward blocked_fields:
- payload.ssn
- payload.card_number required_fields:
- event_id
- event_type
- occurred_at

---

8）威脅模式與保護

威脅：身體變換，重播（重播），PII泄漏，鑰匙損害，計劃便宜，DoS，MITM，簽名條紋。

保護：

• 周邊MTLS：短期客戶證書，CRL/OCSP。
• HMAC簽名+「X-Timestamp」和TTL（± 300 s）。
• JWT （cl credentials/OAuth2 ient）-用於授權和範圍限制。
• 按鍵旋轉（KMS）：標題中的「kid」；30至90天輪換計劃；遷移窗口中的雙重檢查。
• Nonce/等效性：「X-Request-Id」用於小費（付款，獎金）；保存TTL時間。
• Content-Type pinning, max body size, allow-list IP/ASN用於關鍵集成。
• 所有傳入的raw-payload+標題（不可變存儲）的WORM審核。

HMAC驗證示例（偽代碼）：

python body = request.raw_body ts = int(request.headers["X-Timestamp"])
assert abs(now() - ts) <= 300 # анти-replay kid = request.headers["X-Key-Id"]
secret = kms.fetch(kid)
mac = hmac_sha256(secret, body)
assert hmac_eq(mac, request.headers["X-Signature"])

---

9）隱私，PII和RG/KYC

最小化：PII通過鏈接令牌（5-15分鐘）代替內線；禁止在原始日誌中編輯/匿名-使用單獨的PII標記。

訪問：按管轄權和角色屬性劃分的ABAC；所有讀數都是審計日誌。

GDPR：通過鍵映射實現刪除權以消除PII而不會破壞事件事實。

RG/KYC：僅在有效的KYC級別和「OK」 RG標誌下才跳過需要頒發寶貴獎項的事件。

---

10）可觀察性和SLO

SLO（示例）：

• Ingest p95 ≤ 250毫秒；end-to-end p95 ≤ 2 с;≤ 0故障。1％/天。
• 簽名錯誤（HMAC/JWT）≤ 0。占總流量的02％。
• DLQ fill rate ≤ 0.1%;等溫後的「重復」≤ 0。005%.

Dashbord：

• RPS按來源，p50/p95 latency，4xx/5xx，簽名錯誤，計時。
• 按批次，回收/秒，fill DLQ，retries，繼電器。
• 電路：按版本劃分的消息比例，兼容性違規。
• 安全性：rps-throttle頻率，電路斷路器，IP/ASN異常。

Alertes（示例）：

• 流SRM（來自單個源的流量急劇偏斜）。
• 潛在性p95>目標5分鐘+，DLQ增長>X/min。
• 簽名錯誤>Y ppm，「X-Request-Id」重播激增。
• Drift手表>120 with source。

---

11）多區域及容錯能力

主動活動區域，全局漫遊（GeoDNS/Anycast），「user_id」上的粘貼鍵→區域。

用於關鍵事件（現金，KYC）的跨區域復制拓撲。

Blast radius：按性格/品牌隔離、單獨預算和密鑰。

DR計劃：RPO ≤ 5分鐘，RTO ≤ 30分鐘；定期排練。

---

12）重生和重播政策

原始事件：7-30天（按成本計算），單元/店面更長。

僅通過簽名的運行手冊（誰，為什麼，為什麼，時間範圍）允許重新播放。

Replay始終進入新的流版本，並帶有用於分析透明度的標誌「replayed=true」。

---

13）配置示例

Ingress（NGINX風格）限制：

nginx limit_req_zone $binary_remote_addr zone=req_limit:10m rate=300r/s;
limit_req zone=req_limit burst=600 nodelay;

client_max_body_size 512k;
proxy_read_timeout 5s;

Kafka（示例）：

properties num.partitions=64 min.insync.replicas=2 acks=all retention.ms=604800000  # 7 days compression.type=zstd

密鑰策略（KMS）：

yaml rotation_days: 45 grace_period_days: 7 allow_algos: ["HMAC-SHA256"]
key_scopes:
- topic: "wallet_events"
producers: ["wallet-svc"]
consumers: ["ledger-svc","risk-svc"]

---

14）真人快餐推出支票清單

• 周邊的MTLS，HMAC/JWT，按鍵旋轉（「kid」）。
• 邏輯上的冪等（唯一鍵,upsert/ON CONFLICT）。
• 通過「user_id」、reordering window、replay service參與。
• Schema registry+兼容性策略；在主要升級中雙寫。
• Rate limiting, circuit breakers, DLQ+手動咆哮。
• 可觀察性：SLO，簽名/潛伏期/DLQ/lag。
• PII/匿名政策，ABAC，WORM審核。
• DR/多區域，failover彩排。
• Runbooks：事件，倒退，回滾電路/鍵。

---

15）迷你案例（合成）

背景：高峰錦標賽，120到RPS進入，64場比賽，2個Active-Active地區。

4周總計： ingest p95 210 ms, e2e p95 1.6 c；DLQ 0.05%;錯誤簽名0。009%;等效後重復0。003%.

事件：伴侶的時鐘漂移（− 9分鐘）→反重播爆發。電路斷路器將流量轉移到「緩沖」端口，合作夥伴健康向CSM發出警報；在NTP合成後-向所有用戶倒置12分鐘的窗口。沒有損失和雙重付款。

---

16）摘要

可靠的真實時差不只是「webhooks」。它是一個分層系統，具有清晰的合同：單向運輸+單向邏輯exactly-once，註冊方案和驗證，MTLS/HMAC/JWT和密鑰旋轉，後壓/DLQ/恢復，PII最小化和嚴格的審核。通過遵守這些做法，您將獲得快速，安全和可預測的事件流，您可以自信地構建遊戲化，反欺詐性，CRM和付款。