رمز API للمتجر وحدود الطلبات: ما يلزم مطوّر السكربت معرفته

توضيح لمعرّف المتجر، رمز API، رؤوس الطلب، وسبب وجود نوافذ حدّ للتحقق من الترخيص وكيفية التعامل مع الأخطاء 429 و400 في بيئة إنتاج حقيقية.

نُشر في 2026-05-08 · وقت القراءة المتوقع 11 دقيقة

لماذا يهمّ رمز API حتى لو كان «للسيرفر فقط»؟

رمز API للمتجر هو مفتاح يمثّل هوية المتجر أمام واجهات المنصّة الحسّاسة. إذا سُرّق، يمكن لطرف آخر محاولة التظاهر بأنه سيرفرك في طلبات التحقق — لذلك تُفرض حدود معدّل وربما ربط بـ IP. هذا المقال يشرح للمطوّر الذي يكتب التكامل كيف يفكّر في الأخطاء كحالات تشغيل وليس كـ«رسالة غامضة».

رؤوس الطلب التي يجب أن تكون ثابتة في ذهنك

  • X-Tenant-Id (أو الاسم المعتمد في منصّتك): يربط الطلب بمتجر محدد.
  • Authorization: Bearer <tenant_api_token>: يثبت أن الطلب مرفوع من طرف يملك سر المتجر.
  • أحياناً X-Device-Id أو حقول في جسم JSON للترخيص — راجع وثائق المنتج لنسختك الحالية.

ماذا يعني 429 عملياً؟

يعني أن المنصّة رأت كثافة طلبات أعلى من الحد المسموح للمتجر في النافذة الزمنية. الحل ليس «إعادة المحاولة فوراً بلا تأخير» بل تراجع يزداد زمنه (exponential backoff) مع سقف أعلى، وتقليل النداءات غير الضرورية (مثلاً لا تستدعِ التحقق من كل لاعب كل ثانية إن كانت النتيجة مخزّنة مؤقتاً على السيرفر لثوانٍ).

سجلات التدقيق من جهة التاجر

احتفظ في سيرفرك بسجل مختصر: وقت الطلب، نتيجة المنصّة، معرف الترخيص (وليس بالضرورة المفتاح كاملاً في السجل العام). يساعد ذلك عند شكوى عميل وعند مراجعة أمنية بعد تسريب محتمل.

تدوير الرمز بعد تسريب محتمل

  1. أوقف السيرفر مؤقتاً أو عطّل التحقق إن كان ذلك آمناً لبيئتك.
  2. اطلب من جهة الدعم الرسمية لمتجرك إصدار رمز API جديد عند التسريب أو التدوير (حسب سياسة مزوّد الخدمة لديك).
  3. حدّث قيمة السر في بيئة السيرفر واختبر طلباً واحداً ناجحاً قبل فتح البث للاعبين.
  4. راقب السجلات لطلبات تستخدم الرمز القديم — قد تكشف عن مهاجم ما زال يحاول.
لا تعتمد على «إخفاء» رمز API في سكربتات العميل؛ أي سكربت ينزّل للاعب يمكن تحليله. المصدر الآمن هو بيئة السيرفر فقط.