sanctions.tr
Tüm içeriklerMakale

API anahtarlarını güvenli kullanma

Sunucu tarafı saklama, kapsam daraltma, rotasyon ve olay müdahalesi temelleri.

API anahtarı, entegrasyonun kimliğidir. Kod deposunda, tarayıcıda, destek mesajında veya loglarda görünmemelidir.

En az yetkiyi uygulayın

Anahtarları ortam ve entegrasyon bazında ayırın. Domain, IP, kaynak ve limit politikalarını mümkün olan en dar kapsamda tanımlayın.

Rotasyonu olaydan önce tasarlayın

Yeni anahtar oluşturma, trafiği geçirme ve eski anahtarı iptal etme adımlarını belgelendirin. Şüpheli kullanımda kimin hangi sürede işlem yapacağını belirleyin.

Ham anahtar yalnızca oluşturulduğu anda gösterilmeli; daha sonra son karakterler gibi güvenli bir tanımlayıcı kullanılmalıdır.