Türkiye (Türkçe)
Almanya (German)
Worldwide (English)
Web geliştirmenin kalbi olan API'ler, doğru tasarlanmadığında hem veri ihlallerine hem de sistem açıklarına davetiye çıkarır. API güvenliği, sadece geliştirme aşamasında değil, tasarım aşamasında da başlamalıdır. Bu makalede, güvenli API tasarımı için en iyi uygulamaları anlatırken, örnek senaryolar ve çözümler sunacağız. Ayrıca önceki ilgili makalelere de backlink vererek konuyu derinlemesine incelemenizi sağlayacağız.
Bağlantılı İçerikler:
-
API Endpointlerinde Middleware Kullanımı ile Güvenlik Nasıl Artırılır?
-
Frontend ve Backend Ayrı Sunulurken Güvenlik Nasıl Sağlanır? REST API İletişimi ve Güvenlik Rehberi
1. Minimum Veri İfşasi Prensibi (Principle of Least Privilege)
API'ler sınırlı bilgi sunmalıdır. Kullanıcının ihtiyacı olmayan veri asla API yanıtında yer almamalı.
Örnek Yanlış Kullanım:
{
"id": 1,
"name": "Ali",
"password_hash": "$2b$10$7...",
"email": "[email protected]"
}
Örnek Doğru Kullanım:
{
"id": 1,
"name": "Ali"
}
2. Güvenli Kimlik Doğrulama Yöntemleri Kullanın
API'lerde basic auth gibi zayıf yöntemler yerine JWT veya OAuth 2.0 gibi modern standartlar tercih edilmelidir.
JWT Örneği:
const token = jwt.sign({ userId: user.id }, process.env.JWT_SECRET, { expiresIn: '1h' });
3. Hata Mesajlarında Bilgi Sızdırmayı Engelleyin
Hatalarda asla sistem detayları verilmemelidir.
Yanlış:
{
"error": "Database connection failed at dbserver01 with port 3306"
}
Doğru:
{
"error": "Sunucu hatası oluştu. Daha sonra tekrar deneyin."
}
4. Rate Limiting ve Brute-Force Koruması Ekleyin
API'ye gelen istekleri sınırlandırmak hem hizmet aksamasını engeller hem de brute-force denemelerini azaltır.
Örnek (Node.js Express Rate Limit Kullanımı):
const rateLimit = require('express-rate-limit');
const limiter = rateLimit({ windowMs: 15 * 60 * 1000, max: 100 });
app.use(limiter);
5. Veri Doğrulama ve Sanitizasyonu Yapın
API'ye gelen tüm veriler backend tarafında mutlaka doğrulanmalıdır.
Örnek (Joi ile):
const schema = Joi.object({ email: Joi.string().email().required() });
const { error } = schema.validate(req.body);
6. HTTPS Kullanmadan API Yayınlamayın
Tüm API trafiği mutlaka şifreli (HTTPS) olmalıdır. Şifrelenmemiş trafik, sniffing ve man-in-the-middle (MITM) saldırılarına açıktır.
7. CORS Politikalarını Doğru Ayarlayın
Tüm API'lerde sadece belirli domainlere erişim izni verilmelidir.
Örnek CORS Ayarı:
app.use(cors({ origin: 'https://www.siteniz.com' }));
8. Loglama ve İzleme Mekanizması Kurun
-
Tüm API isteklerini loglayın.
-
Anormal istek patlamalarını anında tespit edecek bir monitoring sistemi entegre edin.
9. API Versiyonlaması Uygulayın
V1, V2 gibi versiyonlar kullanarak eski endpoint'lerin güvenlik zaafiyetleri ile yeni endpoint'leri birbirinden ayırabilirsiniz.
10. Middleware Katmanları ile İstekleri Süzgeçten Geçirin
Middleware kullanımı güvenlik için kritik öneme sahiptir. Detaylı bilgi için şu yazıya göz atabilirsiniz:
Sonuç: API'leriniz İçin Güvenli Tasarım Bir Zorunluluktur
Güvenli API tasarımı, bağlı olduğunuz verilerin ve kullanıcıların gizliliğinin korunmasında temel taşkıldır. Bu makalede bahsettiğimiz adımları uygulayarak, hem güvenliği sağlayabilir hem de daha profesyonel ve ölçeklenebilir sistemler geliştirebilirsiniz.
Daha fazlası için Frontend ve Backend Ayrı Sunulurken Güvenlik Nasıl Sağlanır? makalemizi de mutlaka inceleyin.