Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro

Bilgi Bankası

Anasayfa Bilgi Bankası Genel Frontend ve Backend Ayrı Sunulurken...

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
Telefon +90 850 888 83 42
WhatsApp +90 850 307 34 58
E-posta [email protected]

Frontend ve Backend Ayrı Sunulurken Güvenlik Nasıl Sağlanır? | REST API İletisimi ve Güvenlik Rehberi

Frontend ve Backend Ayrı Sunulurken Güvenlik Nasıl Sağlanır? | REST API İletisimi ve Güvenlik Rehberi

Modern web geliştirme dünyasında frontend ve backend uygulamalarını ayrı şekilde geliştirmek, özgürlük ve esneklik sağlasa da ciddi güvenlik risklerini de beraberinde getirir. REST API üzerinden haberleşen bu iki taraf arasında gerekli önlemler alınmazsa veri sızdırma, kimlik hırsızlığı ve sistem ihlalleri gibi ciddi problemler ortaya çıkabilir. Bu makalede, frontend ve backend ayrı kodlanan sistemlerde REST API kullanırken yapılması gereken güvenlik iyileştirmelerini A'dan Z'ye anlatacağız.

Neden Frontend ve Backend Ayrı Kodlanır?

  • İki tarafın bağımsız gelişebilmesi

  • Mobil ve web uygulamaları için aynı backend'in kullanılabilmesi

  • Daha iyi performans ve ölçeklenebilirlik

  • Takımların uzmanlık alanlarına göre ayrılması

Ancak, bu yapı ayrı ayrı çalışan sistemlerin sağlıklı ve güvenli bir şekilde konuşabilmesi zorunluluğunu doğurur.

REST API Kullanırken En Sık Yapılan Güvenlik Hataları

  • API endpoint'lerinin doğru doğrulama yapmaması

  • Şifreli (HTTPS) bağlantı kullanmamak

  • Yetkisiz erişe izin vermek (Authorization eksikliği)

  • Cross-Site Scripting (XSS) ve Cross-Site Request Forgery (CSRF) koruması yapmamak

  • Rate limit uygulamamak (saldırılara açıklık)

  • Gereksiz veri ifşa etmek (Overexposure)

Frontend-Backend Ayrımında REST API Güvenliği Nasıl Sağlanır?

1. HTTPS Kullanmadan API Yayınlamayın

  • Sunucunuz ve istemciler arasındaki tüm veri HTTPS üzerinden şifrelenmelidir.

  • SSL/TLS sertifikası kullanın. Let's Encrypt gibi üretssiz seçenekleri tercih edebilirsiniz.

2. Kimlik Doğrulama ve Yetkilendirme Mekanizması Kurun

  • JWT (JSON Web Token) veya OAuth2 gibi güvenli token tabanlı sistemler kullanın.

  • API'ye erişim öncesi her isteğte kimlik doğrulama yapılması zorunlu olsun.

3. Rate Limiting ve IP Bazlı Kısıtlama Uygulayın

  • Bir kullanıcının belli bir süre içinde atabileceği API isteğini sınırlandırın.

  • Çok fazla istek atan IP adreslerini otomatik kara listeye alın.

4. Veri Gönderiminde Minimum Bilgi Prensibini Benimseyin

  • Sadece frontend'in ihtiyacı olan bilgileri dönün.

  • Gereksiz alanları (password hash, dahili ID'ler, vs.) API yanıtına dâhil etmeyin.

5. CORS Ayarlarını Doğru Yapın

  • API sadece belirli domainlerden gelen isteklere izin vermelidir.

  • "Access-Control-Allow-Origin" değerini "*" yapmak yerine spesifik domain belirtin.

6. Gönderilen Veri Doğrulaması (Validation) Yapın

  • Sunucuda gelen tüm verileri doğrulayan bir kontrol mekanizması oluşturun.

  • SQL Injection, XSS gibi saldırılara karşı önlem alacak doğrulama sistemleri kullanın.

7. API Anahtarlarını ve Gizli Bilgileri Koruyun

  • API anahtarları frontend kodu içinde asla bulunmamalı.

  • API anahtarları sunucu tarafında saklanmalı ve kullanıcıya sadece geçici tokenlar verilmeli.

8. Kullanıcı İsteklerini ve API Trafiğini Kayıt Altına Alın

  • Tüm API isteklerini ve hataları loglayarak güvenlik ihlallerini erken tespit edebilirsiniz.

  • Logları saklarken KVKK ve GDPR gibi veri koruma yasalarına uyumlu olun.

9. Oturum Yönetimini Sağlıklı Yapın

  • Kullanıcı tokenlarının sürelerini kısa tutun.

  • Refresh token mantığı kullanın.

  • Token çalınmalarına karşı aktif oturum takibi yapın.

10. Çapraz Site Tehlikelerine Karşı Koruma Ekleyin

  • CSRF token kullanın.

  • XSS koruması için gönderilen tüm verileri sanitize edin.

API Endpointlerinde Middleware Kullanımı ile Güvenliği Nasıl Artırırsınız?

Birçok geliştirici, API endpoint'lerinde middleware kullanımını ihmal ederek manipülasyonlara açık bırakılmış alanlar oluşturabiliyor. Middleware'ler, API katmanının ilk savunma hattıdır ve mutlaka etkili kullanılmalıdır.

Middleware Kullanılmazsa Ne Olur?

  • Kullanıcının kimliği doğrulanmaz.

  • Yetkisi olmayan kişiler veriye erişebilir.

  • Veri manipülasyonu yapılabilir.

  • API'niz çok daha kolay şekilde hacklenebilir.

Örnek Bir Risk Senaryosu:

Bir e-ticaret sitesinde /api/order/:orderId endpoint'i var ve sipariş detayı dönüyor. Eğer bu endpoint'te kullanıcı kimliği doğrulanmıyorsa, bir başka kullanıcının orderId'sini deneyerek başka kişilere ait sipariş bilgilerine erişebilir.

Doğru Middleware Kullanımı Nasıl Olmalı?

  • authMiddleware: Token kontrolü yapar, kullanıcının giriş yapmış olduğunu doğrular.

  • permissionMiddleware: Kullanıcının ilgili kaynağa erişim yetkisi olup olmadığını kontrol eder.

  • inputValidationMiddleware: Gelen verileri önceden filtreler ve zararlı veri girişine izin vermez.

Basit Bir Middleware Örneği (Node.js / Express):

function authMiddleware(req, res, next) {
  const token = req.headers['authorization'];
  if (!token) {
    return res.status(401).json({ message: 'Token gerekli!' });
  }
  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    req.user = decoded;
    next();
  } catch (err) {
    return res.status(403).json({ message: 'Geçersiz token!' });
  }
}

Ve API tarafında kullanımı:

app.get('/api/order/:orderId', authMiddleware, (req, res) => {
  // sadece doğrulanmış kullanıcılar buraya erişebilir
});

Özetle: Her kritik endpoint için mutlaka en az bir kimlik doğrulama, yetki kontrolü ve veri doğrulama middleware'i kullanılmalıdır.

Sonuç: Güvenlik İlk Günden Öncelik Olmalı

Frontend ve backend'i ayrı şekilde geliştirip REST API ile haberleşen sistemler daha modüler, daha esnek ve daha ölçeklenebilir olur. Ancak bu esnekliğin üretkenliği artırması için mutlaka başlangıçtan itibaren güvenliği merkeze almalısınız. Buradaki teknik önerileri uygularsanız, REST API'lerinizi hem çok daha güvenli hem de performanslı bir yapıya kavuşturabilirsiniz.

Aradığınız Bilgiyi Bulamıyor musunuz?

Bilgi bankasını detaylı olarak incelediniz, fakat ihtiyacınız olan bilgiyi bulamıyorsanız,

Bir Destek Talebi Oluşturun.
Faydalı Buldunuz mu?
(3368 defa görüntülendi. / 120 kişi faydalı buldu.)

Kategoriler

Sunucu/VPS/VDS (67)SSH (23)cPanel ve WHM (32)Alan Adı Yönetimi (15)Genel (578)Reseller Hosting (1)

En Son Eklenen Başlıklar

Plesk Nginx Optimizasyonu: Hız ve Güvenliği ArtırıncPanel Mail.Baby Kurulumu: OptimizasyonNotion Nedir? Proje Yönetimi, Not Alma ve Bilgi Organizasyonu RehberiGoogle Meet Nedir? Ücretsiz ve Kolay Uzak Toplantı Platformu RehberiZoom Nedir? Uzaktan Toplantı ve Görüntülü Görüşme RehberiMicrosoft Teams Nedir? Kurumsal İletişim ve Uzaktan İşbirliği RehberiTeamViewer Nedir? Uzaktan Destek ve Uzak Masaüstü Erişimi RehberiAnyDesk Nedir? Uzak Masaüstü Erişimi ve Uzaktan Destek RehberiXming Nedir? Windows'ta X11 Uygulamalarını Görüntüleme RehberiUltraVNC Nedir? Windows İçin Uzak Masaüstü ve Ekran Paylaşım Rehberi

Ürün ve hizmetlerimiz hakkında daha detaylı bilgi almak için hemen arayın.

Top