docs: Diplodoc setup + полное руководство интеграции по API

Новая документация-as-code на платформе Diplodoc (Yandex open-source) с
YFM (Yandex Flavored Markdown). Build → static HTML, deployable куда угодно.

Что добавлено:
- package.json + .yfm + toc.yaml — Diplodoc setup, навигация для sidebar
- index.md — главная страница с tabs для разных audiences
- README.md — инструкция для contributors

Раздел integration/api/ — 11 страниц про интеграцию consumers:
- index — обзор + глоссарий
- auth — Keycloak service accounts, scope mapping
- read-endpoints — GET /dictionaries, list/by-key, spatial filters
- events — Kafka outbox топики, partition keys, idempotency, DLQ
- webhooks — HMAC, SSRF guard, retry policy, test ping endpoint
- bitemporal — validFrom/validTo + history, future-dated entries, bulk close/export
- x-references — FK syntax, validation errors, scope hiding, orphan scanner, v2 cascade preview
- caching — TTL / push / snapshot strategies, hybrid pattern
- errors — full error code reference (validation/auth/conflict/server), retry strategy
- best-practices — 33 numbered rules для consumers
- bundle-cuod — все 40 справочников с FK графом и сценариями

Обновлены:
- ops/README.md — link на новую integration/api/, убран inline <br>
- ops/slo.md — broken cross-repo links заменены на text references

Build:
  cd docs && pnpm install && pnpm build
  → ./_dist (20 HTML files, 7.1M)
  pnpm serve  # → http://localhost:8088

CI deploy job для GitLab Pages — в roadmap (см. docs/README.md).

Существующий tech/api-integration.md оставлен в toc как legacy
(содержимое мигрировано + расширено в integration/api/).
This commit is contained in:
Zimin A.N.
2026-05-07 23:19:02 +03:00
parent 0c79821f8e
commit d5268b9395
20 changed files with 3450 additions and 5 deletions
+112
View File
@@ -0,0 +1,112 @@
# Авторизация
Ordinis принимает JWT от Keycloak realm `nstart`:
- **Issuer:** `https://auth.nstart.space/realms/nstart`
- **Алгоритм:** RS256
- **JWK Set discoverится** через `/.well-known/openid-configuration`
## Service account (m2m)
Для backend-to-backend интеграции (типичный сценарий):
1. Запросить у Ordinis team создание клиента в realm `nstart`.
2. Назначить role: `ordinis-public` / `ordinis-internal` / `ordinis-restricted`
(по нужному scope, см. ниже).
3. Получить `client_id` + `client_secret`. Хранить в Vault либо secret manager,
**никогда** в коде.
## Получение access token
```bash
curl -X POST https://auth.nstart.space/realms/nstart/protocol/openid-connect/token \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "grant_type=client_credentials" \
-d "client_id=altum-backend" \
-d "client_secret=<SECRET>"
```
Ответ:
```json
{
"access_token": "eyJhbGciOi...",
"expires_in": 300,
"token_type": "Bearer"
}
```
{% note warning %}
Кэшируй токен с TTL = `expires_in - 30` (буфер на retries) в backend
memory. Не делай новый token request на каждый API call — Keycloak rate
limits и латентность.
{% endnote %}
## Использование
Каждый запрос требует header:
```
Authorization: Bearer eyJhbGciOi...
```
Без header → `401 Unauthorized`.
С невалидным/expired токеном → `401`.
Token валиден но scope не позволяет доступ к словарю → `403 Forbidden`.
## Маппинг ролей в DataScope
Ordinis использует трёхуровневый доступ к словарям через `scope` field в
`DictionaryDefinition`:
| Keycloak роль | Доступные scopes |
|---|---|
| `ordinis-public` | `PUBLIC` |
| `ordinis-internal` | `PUBLIC` + `INTERNAL` |
| `ordinis-restricted` | `PUBLIC` + `INTERNAL` + `RESTRICTED` |
Альтернативный синтаксис ролей (для compat с другими сервисами в realm):
суффикс `-PUBLIC|INTERNAL|RESTRICTED` (например `altum-PUBLIC`,
`geoportal-INTERNAL`). Маппинг определяется в `ordinis-auth/.../ScopeContext.java`.
{% note info %}
Альтум consumer на проде использует role `ordinis-internal` — доступ к
PUBLIC + INTERNAL справочникам. RESTRICTED закрытый только для специально
authorized clients.
{% endnote %}
## Refresh tokens
`client_credentials` flow **не поддерживает refresh tokens** — это
m2m flow без user session. Получай новый access token при истечении.
Если используешь user-on-behalf flow (rare для backend) — refresh token
работает, см. Keycloak документацию.
## Multiple environments
| Среда | Issuer | Realm |
|---|---|---|
| prod | `https://auth.nstart.space/realms/nstart` | `nstart` |
| staging | same | same |
| local | same либо local Keycloak (опц) | same |
Один Keycloak realm для всех сред. Service accounts shared (но `client_id`
обычно различается per env: `altum-backend-prod`, `altum-backend-staging`).
## Troubleshooting
| Симптом | Причина | Fix |
|---|---|---|
| 401 на каждый запрос | Token expired | Refresh с TTL buffer |
| 401 на новый token | Invalid client_secret | Re-fetch у Ordinis team |
| 403 на конкретные dictionaries | Scope mismatch | Запросить upgrade role у Ordinis team |
| 500 от Ordinis | Issuer unreachable / JWK fetch fail | Check `auth.nstart.space` health |
## Дальше
→ [Read-side endpoints](read-endpoints.md) — что можно читать с этим токеном.