Рабочий код и практика по теме — разборы, инструкции и кейсы для интеграции BOTIX.
Как в BOTIX безопасность сделали удобной: хранение API-ключей (bcrypt, last4, scopes, ротация), audit-лог через очередь и выбор OAuth 2.0 vs API-key.
Опыт BOTIX: три места, где сломался webhook-receiver — timing-safe HMAC, replay (timestamp ±5 мин + nonce event.id, SET NX EX 900) и audit-логи в кабинете.
Три уровня защиты API из прода: HMAC-SHA256 от raw body с ротацией секрета, X-RateLimit-* с backoff, replay-защита timestamp ±5 мин + nonce. Код и edge cases.
Три слоя видимости публичного API BOTIX: формат ErrorResponse, заголовки X-RateLimit-* с backoff и audit-лог в кабинете. Фрагмент openapi.yaml и код на Python.
Три механизма production-ready API: Idempotency-Key против дублей, X-RateLimit-* с backoff и audit-лог в кабинете. Код, заголовки, TTL, имена таблиц.