search
Netmera Docs

API Anahtarı Güvenliği & Koruyucular

Çoğu sorun REST API anahtarlarının açığa çıkması veya panel hesaplarına yanlış kişinin erişmesi nedeniyle oluşur. Bir anahtar mesaj gönderme işlemlerini tetikleyebiliyorsa etki en yüksektir. Bu sayfa Netmera anahtarlarının nasıl çalıştığını ve nasıl güvene alınacağını açıklar.

hashtag
API Key Mimarisı (SDK vs. REST)

Netmera bölünmüş bir model kullanır. SDK anahtarları and REST API anahtarları farklı kapsamlar ve kullanım senaryolarına sahiptir.

hashtag
SDK anahtarı (istemci tarafı)

  • Uygulamalarınızda Netmera SDK tarafından kullanılır.

  • Uygulama paketinde bulunması beklenir.

  • Ayrıcalıklı işlemler için buna güvenmeyin.

hashtag
REST API anahtarı (sunucu tarafı)

  • Sunucudan sunucuya entegrasyonlar için kullanılır.

  • Herhangi bir uygulama içi kullanım senaryosu için gerekli değildir.

  • Bunu bir mobil uygulamaya veya web ön yüzüne gömmeyin.

circle-exclamation

Bir REST API anahtarı istemci uygulamasında gönderilirse çıkarılabilir. Blast radius'u azaltmak için REST API IP whitelist'leme kullanın.

hashtag
Anahtar Oluşturma ve Depolama Modeli

  • Anahtarlar, belirli bir panel kullanıcısı tarafından belirli bir uygulama için istendiğinde oluşturulur.

  • Anahtarlar açık metin olarak saklanmaz. Erişim panel yetkilendirmesiyle kontrol edilir.

  • Aynı uygulamanın farklı kullanıcıları farklı anahtarları görebilir. Bu izinleri değiştirmez. Açığa çıkan bir anahtarı bir panel hesabına kadar izlemenize yardımcı olur.

hashtag
REST API IP Kısıtlaması (Whitelist)

REST API kullanımını bir IP whitelist'iile kısıtlayın. Bu, geçerli bir anahtar sızsa bile bilinmeyen ağlardan gelen istekleri engeller.

circle-info

Küçük bir set kararlı çıkış IP'si kullanın. Örnek: API gateway'iniz, VPN çıkışı veya özel bir NAT.

hashtag
Panel Erişimi ve Güvenlik Seçenekleri

API anahtarlarına yalnızca Netmera paneli üzerinden erişilir. Önce panel erişimini güvene alın.

  1. Email/SMS OTP: Kullanıcıların panele/uygulamaya erişmek için tek kullanımlık bir şifre girmesi gerekir. (Kimlik doğrulama hakkında daha fazla bilgi için bkz. Control Panel )

  2. IP-Kısıtlı Kullanıcı Girişi: Yalnızca onaylı IP aralıklarından (ör. şirket VPN/ağı) erişime izin verir.

  3. Domain-Kısıtlı Kullanıcı Girişi: Panel kullanıcı oluşturmayı ve erişimi belirli e-posta domainleriyle sınırlar; yalnızca onaylı domainlerden gelen kullanıcıların uygulamaya erişmesini sağlar.

hashtag
Ek Panel Yetkilendirme Kontrolleri:

  • Role-Based Access Control: API anahtarı görünürlüğü panel rollerine göre kısıtlanabilir.

  • Onay Mekanizması (Approver): Mesaj gönderimi onay gerektirecek şekilde yapılandırılabilir. Yetkili bir onaycı işlem onaylamadıkça mesajlar gönderilmez.

Roller ve onay akışları için bkz. Roles and Permissions.

circle-check

hashtag
Önerilen Kurulum

1

REST API anahtarlarını yalnızca sunucu tarafında tutun

REST anahtarlarını mobil uygulamalarda göndermeyin. Tarayıcı JavaScript'inde kullanmayın.

2

REST API IP whitelist'lemesini etkinleştirin

Sadece backend çıkış IP'lerinize izin verin.

3

Daha güçlü panel kimlik doğrulamasını zorunlu kılın

Email/SMS OTP'yi etkinleştirin Genel Ayarlar.

4

Anahtarları kimlerin görebileceğini azaltın

API anahtarı görünürlüğünü sınırlamak için rolleri kullanın. “admin” erişimini nadir tutun.

5

Mesaj gönderimi için onayları zorunlu kılın (isteğe bağlı)

Birden fazla operatörünüz varsa Approver'ı açın.

PreviousKupon Kodu Listeleri

Last updated

Was this helpful?