مراجعv1عقود المنصة

المصادقة وإدارة المفاتيح

اختر هوية المستخدم أو الجهاز أو الشريك الصحيحة، واحفظ الأسرار خارج العميل والسجل.

أنواع الهوية

تختلف المصادقة حسب السطح: جلسة موظف للواجهات، app token لجهاز مسجل، وserver credential أو توقيع HMAC لتكامل شريك. لا تستبدل نوعًا بآخر.

  • User session: لعمليات موظف مصرح.
  • Device/app token: لجهاز مسجل داخل نشاط وفرع.
  • Partner server credential: لتكامل server-to-server.
  • HMAC signature: لإثبات سلامة الرسالة عندما ينص العقد.

تخزين الأسرار

المفتاح السري لا يدخل تطبيق Flutter أو JavaScript عام. يُخزن في secret manager أو بيئة الخادم، ويُدوّر عند الاشتباه أو وفق السياسة.

التوقيع

عند استخدام HMAC، ثبّت canonical request وtimestamp وnonce ومهلة الانحراف. ارفض إعادة nonce أو توقيعًا خارج النافذة الزمنية.

Canonical shape
<METHOD>\n<PATH>\n<TIMESTAMP>\n<NONCE>\n<SHA256(BODY)>