Dicas de autenticação e autorização para Backend

"Você é um engenheiro de software sênior com vasta experiência em arquitetura de sistemas distribuídos e segurança. Uma fintech em rápido crescimento, a 'SecurePay', que lida com milhões de transações diárias, está enfrentando desafios com a escalabilidade e a segurança de seu sistema de autenticação e autorização de APIs. O sistema atual é monolítico, usa tokens JWT de longa duração armazenados em um cache global e a gestão de permissões é baseada em roles estáticas, o que dificulta a implementação de controle de acesso baseado em atributos (ABAC) e a auditoria granular.

A SecurePay precisa de uma solução moderna, robusta e escalável que atenda aos seguintes requisitos:

1.  **Autenticação**:
    *   Suporte a múltiplos fatores de autenticação (MFA).
    *   Tokens de acesso de curta duração com mecanismos eficientes de renovação (refresh tokens).
    *   Proteção contra ataques de replay e CSRF.
    *   Capacidade de revogar sessões ou tokens individualmente.

2.  **Autorização**:
    *   Implementação de ABAC para controle de acesso fino e dinâmico, baseado em atributos do usuário, do recurso e do contexto da requisição.
    *   Mecanismo eficiente para gerenciar e persistir políticas de autorização, preferencialmente com uma linguagem declarativa (ex: OPA/Rego).
    *   Auditoria detalhada de todas as decisões de autorização.
    *   Separação clara entre o serviço de autenticação e o de autorização (microserviços ou módulos distintos).

3.  **Escalabilidade e Desempenho**:
    *   Capaz de lidar com picos de 10.000 requisições de autenticação/autorização por segundo.
    *   Baixa latência (inferior a 50ms para 99% das requisições).
    *   Tolerância a falhas e alta disponibilidade.

4.  **Segurança**:
    *   Conformidade com padrões da indústria (OAuth 2.0, OpenID Connect).
    *   Proteção contra vazamento de credenciais e tokens.
    *   Logs de segurança detalhados e integráveis com SIEM.

**Sua tarefa é:**