CRelay is an encrypted API relay with replay protection. It protects sensitive API payloads beyond HTTPS using AES-256-GCM encryption, timestamp freshness, route-bound AAD, and encrypted responses within a trusted gateway boundary.

Is CRelay a replacement for HTTPS?

No. CRelay is not a replacement for HTTPS. It adds application-level payload encryption on top of HTTPS to protect sensitive data even if TLS is terminated or intercepted at a proxy.

Is CRelay zero-knowledge?

No. CRelay v0.1 operates as a trusted gateway boundary. The relay server decrypts payloads to forward them to target APIs. Zero-knowledge architecture is not a feature of v0.1.

How does CRelay prevent replay attacks?

CRelay uses timestamp freshness validation combined with unique nonces and route-bound Authenticated Associated Data (AAD) to ensure each request is unique and cannot be replayed.

What encryption does CRelay use?

CRelay uses AES-256-GCM for payload encryption, providing both confidentiality and integrity verification.

وسيط API مشفّر يحمي من إعادة الإرسال

يحمي CRelay بيانات طلبات API الحساسة بعد HTTPS، عبر تشفير AES-256-GCM، والتحقق من حداثة الطلب، وربط الحمولة بالمسار، وتشفير الاستجابة.

اطلب الوصول إلى التجربة الخاصة عرض المشروع على GitHub

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.

SDK العميل

بوابة CRelay

واجهة API لديك

استجابة مشفّرة

HTTPS يحمي القناة. CRelay يحمي الحمولة.

بعد انتهاء TLS، قد تظهر البيانات الحساسة داخل السجلات أو البروكسيات أو الطوابير أو الخدمات الداخلية. يضيف CRelay حماية على مستوى الحمولة نفسها، مع منع إعادة الإرسال وربط الطلب بسياقه الصحيح.

بعد انتهاء TLS

عند انتهاء TLS، تصبح الحمولة نصًا واضحًا داخل البنية التحتية؛ وقد تصل إلى السجلات والطوابير والبروكسيات.

خطر إعادة الإرسال

من دون حماية من إعادة الإرسال، يمكن استخدام الطلبات الملتقطة مرة أخرى. قبول الحمولة نفسها مرتين قد يعني رسومًا مزدوجة أو إجراءات مكررة.

خلط المسارات

من دون ربط الحمولة بالمسار عبر AAD، قد تُقبل حمولة مشفّرة وصحيحة لكن في سياق غير مقصود.

آلية العمل

يشفّر SDK الطلب

يشفّر SDK في تطبيقك حمولة الطلب باستخدام AES-256-GCM، ويربط AAD بطريقة الطلب والمسار والمستأجر.

تتحقق البوابة من AAD والحداثة وإعادة الإرسال

تراجع البوابة حداثة الطابع الزمني، وتتأكد من تطابق AAD مع المسار، وترفض أي طلب مكرر.

تمرر البوابة الطلب إلى الوجهة المسموحة

لا يصل الطلب بعد فك تشفيره إلا إلى عناوين URL المعتمدة مسبقًا.

تشفّر البوابة الاستجابة قبل إرجاعها

تُشفّر استجابة الخدمة باستخدام AAD مخصص للاستجابة قبل أن تعود إلى SDK.

يفك CRelay التشفير داخل حدود البوابة الموثوقة فقط لتطبيق فحوصات الأمان، ثم يمرر الطلب إلى الوجهة التي سمحت بها.

ميزات الأمان

AES-256-GCM

تشفير مصدّق بمفاتيح 32 بايت، وnonce بحجم 12 بايت، وعلامات مصادقة 16 بايت. نمط تشفير معتمد وشائع في الأنظمة الحساسة.

حماية من إعادة الإرسال

كل طلب يحمل nonce فريدًا. ترفض البوابة أي nonce سبق استخدامه داخل نافذة الحداثة.

حداثة الطابع الزمني

يجب أن تصل الطلبات ضمن نافذة زمنية قابلة للضبط، والافتراضي 5 دقائق. تُرفض الطلبات القديمة تلقائيًا.

AAD مرتبط بالمسار

تربط بيانات المصادقة الإضافية كل عملية تشفير بطريقة الطلب والمسار والمستأجر. هذا يمنع خلط المسارات.

قوائم وجهات مسموحة

لا تُمرر الطلبات إلا إلى عناوين URL المعتمدة مسبقًا. هذا يقلل مخاطر SSRF والتوجيه غير المصرح به.

استجابات مشفّرة

تُشفّر الاستجابات قبل إرجاعها إلى SDK، باستخدام AAD مخصص للاستجابة (RESPONSE:/path:tenantId).

مصمم للمطورين

quickstart.ts
import { CRelayClient } from "@crelay/sdk";
const client = new CRelayClient({
  apiKey: process.env.CRELAY_API_KEY!,
  baseUrl: "https://gateway.crelay.dev",
  tenantId: "tenant_demo",
  kid: "key_v1",
  keyB64: process.env.CRELAY_KEY_B64!,
});
const response = await client.secureRequest({
  targetUrl: "https://api.example.com/internal/action",
  method: "POST",
  data: { amount: 1000 },
});

اقرأ مستندات SDK افتح دليل البدء السريع

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.

يبقي CRelay الأجزاء الموجهة للمطورين واضحة وقابلة للمراجعة: SDK، والبروتوكول، ونموذج التهديد، ودليل البدء السريع. وتوفر البوابة المستضافة طبقة الحماية المُدارة لإيقاف إعادة الإرسال، والتحقق من الحداثة، وربط AAD بالمسار، وتحديد الوجهات المسموحة، وتشفير الاستجابات.

SDK مفتوح

راجع مسار التشفير من جهة العميل وادمج CRelay في دقائق.

بروتوكول موثّق

اطلع على تنسيق الظرف، وقواعد AAD، ونموذج الحداثة، وافتراضات التهديد.

دليل بدء سريع

شغّل بوابة محلية تجريبية وواجهة API لفهم مسار الطلب المشفّر بالكامل.

بوابة مستضافة

استخدم بوابة CRelay المُدارة لتطبيق الفحوصات، ومنع إعادة الإرسال، وتشفير الاستجابات.

شفافية كافية للمراجعة. وإدارة كافية للاستخدام العملي.

اطلب الوصول إلى التجربة الخاصة

HTTPS يحمي القناة. CRelay يحمي الحمولة.

SDK مفتوح. بروتوكول موثّق. حماية مُدارة.