Güvenlik

Faz 5 — operasyon ve geliştirme için özet kontrol listesi.

Sırlar

• .env dosyasını repoya commit etmeyin; üretimde Vault / platform secret store kullanın.
• PUBLIC_API_KEY, DEV_API_TOKEN, ADMIN_SECRET ayrı ayrı döndürün; anahtarları düzenli rotasyonla yenileyin.

Kötüye kullanım

• Genel API için IP + anahtar başına hız sınırı uygulanır; çoklu sunucuda Redis tabanlı limiter önerilir.
• Edge / WAF ile bilinen kötü IP listeleri ve bot koruması ekleyin.

SSRF

Kullanıcıdan gelen URL’lere sunucu tarafında istek atılacaksa özel IP ve metadata uçlarını engelleyin (lib/ssrf-guard.ts referans). Şu an ürün akışında zorunlu kullanım yoktur.

RBAC

DEV_API_TOKEN yalnızca dahili kullanıcı/watchlist/alert yazma uçları için; PUBLIC_API_KEY yalnızca salt okunur genel uçlar için tasarlanmıştır. Üretimde OAuth / oturum ile birleştirin.

← API dokümantasyonu