امنیت در راهیانا

ما امنیت داده‌ها و حساب‌های شما را به‌صورت end-to-end در لایه‌های مختلف پیاده‌سازی کرده‌ایم: از هدرهای امنیتی و CSP تا رمزگذاری کلیدها و کنترل‌های دسترسی. این صفحه خلاصه‌ای عملی از معماری امنیتی و نحوه پیکربندی آن ارائه می‌دهد.

احراز هویت و نشست‌ها

پشتیبانی از OAuth، ورود بدون رمز و ایمیل/رمز عبور. نشست‌ها در کوکی‌های امن نگهداری می‌شوند.

کوکی نشست: httpOnly، sameSite=strict، secure در محیط تولید.
استراتژی نشست: JWT با کال‌بک‌های امن.
CSRF برای درخواست‌های session-auth: بررسی Origin/Referer هم‌ریشه.

جزئیات بیشتر در مستندات احراز هویت.

رمزگذاری و مدیریت کلیدها

رمزگذاری کلیدها و اسرار با AES-256-GCM و الگوی Envelope Encryption.
کلیدهای پوشش‌دهنده (KEK) از فایل‌های امن (Docker secrets) یا متغیرهای محیطی بارگذاری می‌شوند.
هش کلیدهای API با SHA-256 ذخیره می‌شود؛ مقدار خام رمزگذاری‌شده و جداگانه نگهداری می‌گردد.

چرخش کلید (Key Rotation)

با تعریف ENCRYPTION_KEK_OLD امکان بازگشایی داده‌های قدیمی و مهاجرت امن فراهم است.

هدرهای امنیتی و سیاست‌های محتوا (CSP)

Content-Security-Policy با nonce per-request برای اسکریپت‌ها و استایل‌ها.
Strict-Transport-Security با preload، X-Frame-Options=DENY، X-Content-Type-Options=nosniff.
Referrer-Policy=strict-origin-when-cross-origin و Permissions-Policy حداقلی.

Dev vs Prod

در محیط توسعه برای سازگاری با HMR، CSP انعطاف‌پذیرتر است؛ در تولید از nonce و سیاست‌های سختگیرانه استفاده می‌شود.

امنیت API و کلیدها

کلیدهای API با پیشوند قابل‌مشاهده و هش‌شده ذخیره می‌شوند؛ مقدار خام فقط یک‌بار نمایش داده می‌شود.
در لاگ‌ها مقادیر حساس به‌صورت SHA-256 hash یا mask می‌شوند.
در صورت سرریز نرخ، پاسخ 429 و هدرهای X-RateLimit-* بازگردانده می‌شود.

درباره نرخ درخواست‌ها: راهنمای Rate Limits

سخت‌سازی و بهترین شیوه‌ها

فعال‌سازی 2FA و مدیریت نشست‌ها در تنظیمات حساب.
استفاده از متغیرهای محیطی برای اسرار و عدم قراردادن در کد.
استفاده از backoff و circuit breaker در کلاینت‌ها.

گزارش آسیب‌پذیری

اگر مسئله امنیتی یافتید، لطفاً به‌صورت محرمانه از طریق فرم تماس اطلاع دهید. پاسخ‌گویی سریع و شفافیت در اولویت ما است.