En iyi güvenlik uygulamaları
Uygulamanızı kullanıma sunmadan önce güvenli olduğundan emin olmak için çeşitli kontroller yapmanız gereklidir. Aşağıdaki liste tam kapsamlı değildir ancak API BaaS kullanırken uygulama güvenliği sağlamak için dikkate almanız gereken bazı en iyi uygulama örneklerini vermektedir.
Sandbox: Asla bir üretim uygulaması için kullanmayın
Varsayılan olarak her yeni API BaaS hesabında organizasyonunuz altında oluşturulmuş "sandbox" adı verilen bir uygulama bulunur. Bu uygulama oluşturabileceğiniz herhangi bir uygulamadan farklı değildir, yalnızca Misafir rolüne tam izin verilmiştir. Bu durum uygulama seviyesinde çağrılar yaparken anahtar ihtiyacını ortadan kaldırmaktadır ve uygulamanızın çalıştırılmasını kolaylaştırmaktadır ancak sandbox uygulamasındaki herhangi bir verinin de tamamen güvensiz olduğu anlamına gelmektedir.
Tüm diğer uygulamalarda olduğu gibi sandbox uygulamasını da roller ve izinlerini güncelleyerek güvenli hale getirebilirsiniz.
Uygulamalarınızdaki izinlerin incelenmesi
Uygulamanızı bir üretim ortamına sürmeden önce, oluşturduğunuz tüm roller ve izinler ile bunlara atadığınız gruplar ve kullanıcıları incelemeniz önerilmektedir. Geliştirme aşamasında uygulama tamamlandıktan sonra hâlâ gerekli olabilecek veya olmayabilecek çeşitli izinler eklemiş olduğunu görebilirsiniz. Tüm izinleri inceleyin ve artık gerekli olmayanları silin.
Uygulamanızı kullanıma sürmeden önce, gereksiz Misafir izinlerini kaldırarak güvenli hale getirmelisiniz. Uygulamayı güvenli yaptıktan sonra API'ye yapılacak tüm çağrılar OAuth anahtarı içermelidir. OAuth anahtarları (aynı zamanda erişim anahtarı "access token" denir) başarılı doğrulama çağrılarına yanıt olarak API tarafından alınır. Uygulamanız anahtarı kaydeder ve o oturumdaki gelecek çağrılar için kullanır.
Test hesaplarının incelenmesi
Geliştirme sırasında herhangi bir test kullanıcı veya test yönetici hesabı oluşturduysanız, bunların da güvenlik açısından incelenmesi gerekmektedir. Gerekli olmayan tüm test hesaplarını silin. Bu hesaplara hâlâ ihtiyaç duyuluyorsa, şifrelerin uygulamanızın gerektirdiği standartlarda güvenli hale getirilmesini sağlayın.
API'ye yapılan tüm çağrıların güvensiz http protokolü yerine güvenli https protokolü kullanılarak yapıldığından emin olun. Uygun uygulama uç noktası: https://mobildb.turkcell.com.tr