Question 1

OAuth 2.0, JWT yoksa API anahtarı mı kullanmalıyım?

Accepted Answer

Farklı sorunları çözerler ve genellikle bir arada bulunurlar. OAuth 2.0 (kimlik için OpenID Connect ile), kullanıcıların veya üçüncü tarafların şifre paylaşmadan kapsamlı erişim vermesinin standardıdır. JWT, OAuth içinde durumsuz, kendi kendine yeten oturumlar için sıkça kullanılan bir token biçimidir. API anahtarları, uzun ömürlü bir sırrın kabul edilebilir olduğu basit servisler arası çağrılara uygundur. Her birini her yere zorlamak yerine doğru kullanıma eşleriz.

Question 2

JWT'leri tarayıcıda saklamak güvenli mi?

Accepted Answer

Nereye sakladığınıza bağlı. Token'ları localStorage'da saklamak onları XSS'e açar; bu yüzden tarayıcı uygulamaları için kısa ömürlü access token'ları bellekte ve JavaScript'in okuyamayacağı HttpOnly, Secure, SameSite cookie'de bir refresh token tercih ederiz. Access token ömürlerini kısa tutmak — gün değil dakika — biri sızarsa hasarı sınırlar. Doğru desen uygulamanızın tehdit modeline bağlıdır.

Question 3

BOLA nedir ve neden önemlidir?

Accepted Answer

Bozuk Nesne Düzeyi Yetkilendirme (BOLA/IDOR), OWASP API Top 10'daki bir numaralı risktir: kimliği doğrulanmış bir kullanıcı kendisine ait olmayan bir nesne ID'si ister ve API yalnızca giriş yapıldığını kontrol ettiği, kaydın sahipliğini kontrol etmediği için onu döndürür. ID alan her uç nokta sahipliği sunucu tarafında doğrulamalıdır. Hem yaygın hem yüksek etkili olduğu için bunu açıkça test ederiz.

Question 4

Bir JWT'yi süresi dolmadan nasıl iptal ederim?

Accepted Answer

Saf JWT'ler durumsuzdur ve doğrudan iptal edilemez; bu, her istekte veritabanına gitmemenin bedelidir. Pratik çözümler kısa token ömürleri artı bir yenileme mekanizması, hassas işlemlerde kontrol edilen iptal edilmiş token ID'lerinin sunucu tarafı bir denylist'i veya kullanıcı kaydına bağlı token sürümlemesidir. İptalin ne kadar hızlı etkili olması gerektiğine göre seçeriz.

Question 5

Auth'u kendim mi kurmalıyım yoksa Auth0/Clerk mi kullanmalıyım?

Accepted Answer

Çoğu ekip için yönetilen bir sağlayıcı daha güvenli ve hızlı seçimdir — MFA, sosyal giriş, şifre sıfırlama ve yanlış yapılması kolay güvenlik yamalarını üstlenir. Kendi barındırmak; katı veri ikametgâhı kuralları, sıra dışı akışlar veya büyük ölçekte kullanıcı başına ücretten kaçınmak istediğinizde mantıklıdır. İkisini de yayınladık ve kısıtlarınıza göre dürüstçe öneririz.

Question 6

Makineler arası API çağrılarını nasıl güvenli kılarım?

Accepted Answer

Kullanıcı kimlik bilgilerini gömmek yerine OAuth 2.0 client-credentials izni veya imzalı, kapsamlı API anahtarları kullanın. Her servis kendi kimliğini ve en az ayrıcalık kapsamlarını alır, sırlar kodda değil bir vault'ta yaşar ve anahtarlar düzenli olarak rotasyona girer. Karşılıklı TLS, yüksek güvenli dahili iletişim için bir katman daha ekler.

Question 7

Token sızıntısını ve tekrar saldırısını nasıl önlüyorsunuz?

Accepted Answer

Her şeyi TLS üzerinden taşırız, token'ları URL'lerden ve loglardan uzak tutarız ve yakalanan bir token'ın hızla dolması için kısa ömürler kullanırız. Hassas işlemler için istek imzalama ve nonce ekleriz; böylece tekrar edilen bir istek reddedilir. Refresh token'lar her kullanımda rotasyona girer; çalınan biri, meşru istemci kendisininkini kullandığı an tespit edilebilir.

Question 8

Bu, uyumluluk gereksinimlerini kapsıyor mu?

Accepted Answer

Kimlik doğrulama ve yetkilendirme çoğu uyumluluk rejiminin temelidir ama tüm resim değildir. Denetim kaydımız, erişim kontrollerimiz ve şifrelememiz GDPR, SOC 2 ve benzeri çerçeveleri destekler ve kontrolleri denetçileriniz için belgeleriz. API güvenliğinin nerede bittiğini ve daha geniş kurumsal kontrollerin — politikalar, eğitim, tedarikçi yönetimi — nerede devralması gerektiğini işaret ederiz.

API Güvenliği ve Kimlik Doğrulama
SSS

Yararlı
bilgiler

Başlarken

Zaman Çizelgesi

Fiyatlandırma

Destek

Hala sorularınız mı var?

API Güvenliği ve Kimlik DoğrulamaSSS

Yararlıbilgiler