Yazılım Güvenliği: Dijital Dünyanın Kalkanı

Nedir? Kullanıcıların yetkileri dahilinde olmayan işlevlere veya verilere erişmesine izin veren zafiyetlerdir. Kimlik doğrulama (authentication) sonrası yetkilendirme (authorization) kontrollerinin eksik veya hatalı uygulanmasından kaynaklanır.

Örnek Senaryolar:

• URL'deki ID parametresini değiştirerek başka bir kullanıcının bilgilerini görüntüleyebilme (Insecure Direct Object References - IDOR).
• Normal bir kullanıcının, sadece admin yetkisine sahip olması gereken bir yönetim paneline erişebilmesi.
• HTTP metodunu değiştirerek (örn: GET yerine PUT) yetkisiz işlem yapabilme.
• Rol tabanlı kontrollerin atlatılabilmesi.

Korunma Yöntemleri:

• Varsayılan olarak erişimi reddet (deny by default).
• Her istekte, kullanıcının istenen kaynağa veya işlevselliğe erişim yetkisinin olup olmadığını sunucu tarafında tekrar kontrol et. İstemci tarafındaki kontrollere (örn: JavaScript ile butonu gizleme) güvenme.
• Rol tabanlı (RBAC) veya yetenek tabanlı (Capability-based) erişim kontrol mekanizmalarını tutarlı bir şekilde uygula.
• Doğrudan nesne referansları yerine (örn: /kullanici/123), dolaylı veya kullanıcı oturumuna bağlı referanslar kullanmayı düşün veya her erişimde sahiplik kontrolü yap.
• Erişim kontrol mekanizmalarını kapsamlı bir şekilde test et (hem normal kullanıcı hem de potansiyel saldırgan senaryolarıyla).
• Gereksiz API endpoint'lerini veya özellikleri kapat.

Nedir? Hassas verilerin (şifreler, kredi kartı bilgileri, kişisel veriler) iletim sırasında (in transit) veya saklanırken (at rest) yeterince korunmaması veya zayıf kriptografik algoritmalar/anahtarlar kullanılması sonucu ortaya çıkan zafiyetlerdir. Eski adı "Sensitive Data Exposure" idi.

Örnek Senaryolar:

• Hassas verilerin HTTP üzerinden (şifresiz) iletilmesi.
• Şifrelerin veritabanında düz metin veya zayıf hash algoritmaları (MD5, SHA1) ile saklanması.
• Zayıf veya varsayılan şifreleme anahtarları kullanılması.
• Eski veya güvensiz şifreleme algoritmalarının (DES, RC4) kullanılması.
• Hata mesajlarında veya loglarda hassas bilgilerin ifşa edilmesi.
• Gereksiz yere hassas veri toplama veya saklama.

Korunma Yöntemleri:

• Tüm veri iletimini HTTPS (TLS) ile şifrele. HSTS (HTTP Strict Transport Security) başlığını kullan.
• Hassas verileri saklarken güçlü, endüstri standardı şifreleme algoritmaları (AES gibi) kullan.
• Şifreleri asla düz metin saklama. Güçlü, tuzlanmış (salted) ve yavaşlatılmış (key stretching - örn: PBKDF2, bcrypt, scrypt, Argon2) hash algoritmaları kullanarak sakla.
• Kriptografik anahtarları güvenli bir şekilde yönet (ayrı saklama, düzenli rotasyon).
• Gereksiz hassas verileri toplama veya saklama. Veri minimizasyonu prensibini uygula.
• Tarayıcı önbelleğinin hassas verileri saklamasını önlemek için uygun HTTP başlıklarını (Cache-Control: no-store, Pragma: no-cache) kullan.
• Hata mesajlarında ve loglarda hassas bilgileri maskele veya çıkarma.

Nedir? Güvenilmeyen kullanıcı girdisinin, bir yorumlayıcıya (interpreter - SQL, NoSQL, OS, LDAP, ORM, HTML vb.) komut veya sorgu olarak gönderilmesi sonucu ortaya çıkan zafiyetlerdir. Saldırgan, bu sayede yorumlayıcıyı kandırarak istenmeyen komutları çalıştırabilir.

Yaygın Türleri:

• SQL Injection: Kullanıcı girdisinin doğrudan SQL sorgularına eklenmesiyle veritabanına yetkisiz erişim veya manipülasyon sağlanır.
• NoSQL Injection: NoSQL veritabanlarına yönelik benzer saldırılar.
• OS Command Injection: Kullanıcı girdisinin işletim sistemi komutlarına eklenmesiyle sunucuda rastgele komut çalıştırılır.
• Cross-Site Scripting (XSS): Kullanıcı girdisindeki kötü niyetli scriptlerin başka kullanıcıların tarayıcısında çalıştırılmasıdır. Reflected XSS, Stored XSS, DOM-based XSS gibi türleri vardır. Oturum çalma, kimlik avı gibi saldırılara yol açabilir.
• LDAP Injection: LDAP sorgularına müdahale edilmesi.

Korunma Yöntemleri (Genel):

• Veriyi Koddan Ayır: Güvenilmeyen girdiyi asla doğrudan komut veya sorgu olarak yorumlatma.
• Parametreli Sorgular (Prepared Statements): SQL ve birçok NoSQL veritabanı için en etkili korunma yöntemidir. Kullanıcı girdisi sorgu metninden ayrı olarak veritabanına gönderilir ve veritabanı motoru bunu güvenli bir şekilde işler.
• ORM Kullanımı: Entity Framework, Hibernate, Django ORM gibi ORM'ler genellikle parametreli sorguları otomatik kullanarak SQL Injection riskini azaltır (ancak ham SQL sorguları kullanılıyorsa dikkatli olunmalıdır).
• Input Validation (Girdi Doğrulama): Beklenen veri formatını (uzunluk, tip, karakter seti) sunucu tarafında doğrula (Whitelist yaklaşımı tercih edilir). Ancak tek başına yeterli değildir.
• Output Encoding/Escaping (Çıktı Kodlama/Kaçış): Kullanıcı girdisini HTML, JavaScript, URL veya başka bir bağlamda görüntülerken ilgili bağlama uygun şekilde encode/escape et. Bu, özellikle XSS saldırılarını önlemek için kritiktir. Güvenilir kütüphaneler kullan (örn: OWASP Java Encoder, Python'un html.escape()).
• En Az Yetki Prensibi: Veritabanı veya işletim sistemi hesaplarının sadece gerekli minimum yetkilere sahip olmasını sağla.
• Güvenlik Başlıkları: XSS'i azaltmak için Content-Security-Policy (CSP) gibi HTTP başlıklarını kullan.

// SQL Injection Riski (C# - Yanlış Yöntem)
// string kullaniciGirdisi = request.QueryString["id"]; // Örnek: "1; DELETE FROM Kullanicilar"
// string sql = "SELECT * FROM Urunler WHERE KategoriID = " + kullaniciGirdisi; // !!! TEHLİKELİ !!!
// SqlCommand command = new SqlCommand(sql, connection);
// ...

// SQL Injection Koruması (C# - Parametreli Sorgu)
// string kullaniciGirdisi = request.QueryString["id"];
// string sql = "SELECT * FROM Urunler WHERE KategoriID = @KategoriIdParam";
// SqlCommand command = new SqlCommand(sql, connection);
// Parametre ekle (tipini belirtmek önemlidir)
// command.Parameters.Add("@KategoriIdParam", SqlDbType.Int).Value = Convert.ToInt32(kullaniciGirdisi); // Girdi int'e çevrilir veya hata verir
// ... command.ExecuteReader() ...

// XSS Koruması (C# - Razor/ASP.NET Core Örneği - Output Encoding)
// Kullanıcıdan gelen yorumu gösterirken:
// @Html.Raw(kullaniciYorumu) // !!! TEHLİKELİ - XSS Riski !!!
// 
@kullaniciYorumu
 // Doğru - Razor varsayılan olarak encode eder (<script> tagları metin olarak görünür)
// Veya manuel encode: System.Web.HttpUtility.HtmlEncode(kullaniciYorumu)
                    

Nedir? Güvenliğin en baştan, tasarım aşamasında yeterince düşünülmemesinden kaynaklanan zafiyetlerdir. Kodlama hatalarından ziyade mimari veya tasarım kararlarındaki eksiklikleri ifade eder.

Örnek Senaryolar:

• Tehdit modellemesi (threat modeling) yapılmaması.
• İş mantığı kusurları (örn: sepete negatif sayıda ürün ekleyebilme).
• Güvenlik kontrollerinin kolayca atlatılabileceği iş akışları.
• Yetersiz veya eksik erişim kontrolü tasarımı.
• Kaynakların (CPU, bellek, ağ) kötüye kullanımına (DoS) açık algoritmalar veya tasarımlar.

Korunma Yöntemleri:

• Güvenli Tasarım Prensiplerini Uygula: En az yetki, savunmada derinlik (defense in depth), güvenli varsayılanlar gibi prensipleri benimse.
• Tehdit Modellemesi Yap: Uygulamanın potansiyel tehditlerini, saldırı yüzeylerini ve güvenlik açıklarını tasarım aşamasında belirle ve önlemler al.
• Güvenlik Gereksinimlerini Baştan Belirle: Fonksiyonel gereksinimler kadar güvenlik gereksinimlerini de projenin başında tanımla.
• Güvenli Tasarım Desenlerini Kullan: Güvenlikle ilgili yaygın sorunlara çözüm sunan tasarım desenlerini araştır ve uygula.
• Kütüphane ve Framework Seçiminde Güvenliği Göz Önünde Bulundur: Kullanılacak araçların güvenlik geçmişini ve özelliklerini değerlendir.
• Sürekli Gözden Geçirme: Tasarım kararlarını ve mimariyi düzenli olarak güvenlik açısından gözden geçir.

• A05: Security Misconfiguration (Güvenlik Yanlış Yapılandırması): Güvenlik ayarlarının eksik veya yanlış yapılandırılması (örn: varsayılan şifreler, gereksiz açık portlar, detaylı hata mesajları, bulut servislerinde yanlış izinler). Korunma: Güvenli yapılandırma standartları (hardening), otomasyon, düzenli denetimler.
• A06: Vulnerable and Outdated Components (Zafiyetli ve Güncel Olmayan Bileşenler): Kullanılan kütüphanelerin, framework'lerin veya diğer yazılım bileşenlerinin bilinen güvenlik açıklarını içermesi. Korunma: Bağımlılıkları düzenli olarak tarama (SCA araçları), güncel tutma, güvenilir kaynaklardan bileşen kullanma.
• A07: Identification and Authentication Failures (Kimlik Tanıma ve Doğrulama Hataları): Kimlik doğrulama ve oturum yönetimi işlevlerindeki zafiyetler (örn: zayıf şifre politikaları, oturumların düzgün sonlandırılmaması, brute force saldırılarına açıklık, MFA eksikliği). Korunma: Güçlü şifre politikaları, MFA, güvenli oturum yönetimi, kaba kuvvet saldırılarına karşı koruma (rate limiting, captcha).
• A08: Software and Data Integrity Failures (Yazılım ve Veri Bütünlüğü Hataları): Yazılım güncellemelerinin, kritik verilerin veya CI/CD pipeline'larının bütünlüğünü doğrulamadan yapılan varsayımlarla ilgili hatalar (örn: güvenilmeyen kaynaklardan güncelleme çekme, güvensiz deserialization). Korunma: Dijital imzalar, bütünlük kontrolleri, güvenilir güncelleme kaynakları, güvenli CI/CD pratikleri, deserialization risklerini anlama ve önleme.
• A09: Security Logging and Monitoring Failures (Güvenlik Kayıt ve İzleme Hataları): Saldırıları veya şüpheli aktiviteleri tespit etmek, analiz etmek ve bunlara yanıt vermek için yeterli loglamanın ve izlemenin yapılmaması. Korunma: Önemli güvenlik olaylarını (giriş denemeleri, erişim hataları vb.) loglama, logları merkezi olarak toplama ve analiz etme, etkili uyarı (alerting) sistemleri kurma.
• A10: Server-Side Request Forgery (SSRF - Sunucu Taraflı İstek Sahteciliği): Sunucunun, saldırgan tarafından kontrol edilen harici bir kaynağa veya kendi içindeki başka bir kaynağa istenmeyen bir ağ isteği yapmaya zorlanması. Korunma: Kullanıcı girdisiyle oluşturulan URL'leri dikkatlice doğrulama, bir izin listesi (allow-list) kullanma, ağ segmentasyonu.

OWASP Top 10 listesi, web uygulama güvenliğinde odaklanılması gereken en önemli alanları belirlemek için değerli bir kaynaktır.

Uygulamaya dış kaynaklardan (kullanıcı arayüzü, API çağrıları, dosyalar, veritabanı vb.) gelen tüm verilerin güvenilmez kabul edilmesi ve işlenmeden önce doğrulanması prensibidir.

Neden Önemli? Enjeksiyon saldırıları (SQL, XSS, Command), hatalı iş mantığı, DoS saldırıları gibi birçok zafiyetin temelinde geçersiz veya kötü niyetli girdiler yatar.

Nasıl Yapılır?

• Sunucu Tarafında Yapılmalı: İstemci tarafı doğrulama (JavaScript ile) kullanıcı deneyimini iyileştirir ancak kolayca atlatılabilir. Güvenlik için tüm kritik doğrulamalar sunucu tarafında yapılmalıdır.
• Whitelist (İzin Listesi) Yaklaşımı: Sadece beklenen ve geçerli olan karakterleri, formatları veya değerleri kabul et. Örneğin, bir posta kodu sadece rakamlardan oluşmalıysa, sadece rakamları kabul et. Blacklist (yasaklı listesi - örn: <script> tagını engelle) yaklaşımı genellikle eksik kalır ve atlatılması daha kolaydır.
• Tip Kontrolü: Gelen verinin beklenen tipte olduğundan emin ol (sayı, string, boolean vb.).
• Uzunluk Kontrolü: Verinin minimum ve maksimum uzunluk sınırlarına uyup uymadığını kontrol et.
• Format Kontrolü: E-posta adresi, telefon numarası, tarih gibi belirli formatlara uyması gereken verileri düzenli ifadeler (regex) veya özel kütüphanelerle doğrula.
• Aralık Kontrolü: Sayısal değerlerin belirli bir aralıkta olup olmadığını kontrol et.
• Mantıksal Doğrulama: İş kurallarına uygunluğu kontrol et (örn: sipariş miktarı stoktan fazla olamaz).

# Input Validation Örneği (Python - Flask)
# from flask import Flask, request, jsonify

# app = Flask(__name__)

# @app.route('/kayit', methods=['POST'])
# def kullanici_kayit():
#     data = request.get_json()
#     kullanici_adi = data.get('username')
#     email = data.get('email')
#     yas_str = data.get('age')

#     hatalar = []

#     # Kullanıcı Adı Doğrulama
#     if not kullanici_adi or not isinstance(kullanici_adi, str) or len(kullanici_adi) < 3 or len(kullanici_adi) > 20:
#         hatalar.append("Kullanıcı adı 3 ile 20 karakter arasında olmalıdır.")
#     elif not kullanici_adi.isalnum(): # Sadece harf ve rakam (Whitelist örneği)
#          hatalar.append("Kullanıcı adı sadece harf ve rakam içerebilir.")

#     # E-posta Doğrulama (Basit format kontrolü)
#     import re
#     email_regex = r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$'
#     if not email or not isinstance(email, str) or not re.match(email_regex, email):
#         hatalar.append("Geçerli bir e-posta adresi girin.")

#     # Yaş Doğrulama
#     yas = None
#     if not yas_str:
#         hatalar.append("Yaş alanı boş bırakılamaz.")
#     else:
#         try:
#             yas = int(yas_str)
#             if yas < 18 or yas > 100: # Aralık kontrolü
#                 hatalar.append("Yaş 18 ile 100 arasında olmalıdır.")
#         except ValueError: # Tip kontrolü
#             hatalar.append("Yaş sayısal bir değer olmalıdır.")

#     if hatalar:
#         return jsonify({"basarili": False, "hatalar": hatalar}), 400 # Bad Request

#     # Doğrulama başarılıysa işlemlere devam et...
#     print(f"Kullanıcı kaydediliyor: {kullanici_adi}, {email}, {yas}")
#     # ... veritabanına kaydetme vb. ...
#     return jsonify({"basarili": True, "mesaj": "Kayıt başarılı!"}), 201 # Created
                     

Bu iki kavram sıklıkla karıştırılır ancak farklı anlamlara gelir:

• Authentication (Kimlik Doğrulama): Bir kullanıcının veya sistemin kim olduğunu doğrulama işlemidir. Genellikle kullanıcı adı/şifre, token (JWT, API Key), sertifika veya biyometrik yöntemlerle yapılır. "Sen kimsin?" sorusunun cevabıdır.
• Authorization (Yetkilendirme): Kimliği doğrulanmış bir kullanıcının veya sistemin hangi kaynaklara erişebileceğini veya hangi işlemleri yapabileceğini belirleme işlemidir. Rol tabanlı (RBAC), nitelik tabanlı (ABAC) veya izin tabanlı kontrollerle yapılır. "Ne yapabilirsin?" sorusunun cevabıdır.

Güvenli Pratikler:

• Güçlü şifre politikaları uygula (uzunluk, karmaşıklık, geçmiş kontrolü).
• Şifreleri asla düz metin saklama (güçlü, tuzlanmış hash kullan - bkz: Kriptografik Hatalar).
• Çok Faktörlü Kimlik Doğrulama (MFA/2FA) seçenekleri sun.
• Güvenli oturum yönetimi kullan (rastgele, uzun session ID'leri, HTTPS üzerinden iletim, HttpOnly ve Secure cookie flag'leri, düzenli oturum sonlandırma).
• Brute force saldırılarına karşı hesap kilitleme veya rate limiting uygula.
• Yetkilendirme kontrollerini her istekte sunucu tarafında yap. İstemci tarafı kontrollere güvenme.
• En Az Yetki Prensibini uygula: Kullanıcılara veya servislere sadece işlerini yapmak için gereken minimum yetkileri ver.
• Rolleri ve izinleri dikkatlice tanımla ve yönet.

Modern uygulamalar, işlevselliklerini hızlandırmak için genellikle çok sayıda üçüncü parti kütüphane ve pakete (bağımlılık) güvenir. Ancak bu bağımlılıklar güvenlik açıkları içerebilir.

Riskler:

• Kullanılan bir kütüphanede keşfedilen bir zafiyet (CVE), uygulamanızı da savunmasız hale getirebilir.
• Kütüphanenin kendisi veya onun bağımlı olduğu başka bir kütüphane (geçişli bağımlılık - transitive dependency) zafiyet içerebilir.
• Kötü niyetli paketler (typosquatting vb.) yanlışlıkla projeye dahil edilebilir.

Güvenli Pratikler:

• Bağımlılıkları Düzenli Olarak Güncelle: Kütüphane yazarları genellikle bulunan açıkları yamalarla düzeltir. Paket yöneticinizi (npm, pip, nuget vb.) kullanarak bağımlılıkları düzenli olarak en son güvenli sürümlere güncelleyin.
• Güvenlik Açığı Taraması (SCA): Yazılım Kompozisyon Analizi (Software Composition Analysis - SCA) araçları (GitHub Dependabot, Snyk, OWASP Dependency-Check vb.) kullanarak projenizdeki bağımlılıkları bilinen güvenlik açıkları için otomatik olarak tarayın ve uyarılar alın.
• Kullanılmayan Bağımlılıkları Kaldırın: Projede artık kullanılmayan kütüphaneleri temizleyerek saldırı yüzeyini azaltın.
• Güvenilir Kaynakları Kullanın: Paketleri resmi depolardan (npm registry, PyPI, NuGet Gallery) indirin. Şüpheli veya doğrulanmamış kaynaklardan kaçının.
• Lock Dosyaları Kullanın: package-lock.json (npm), yarn.lock (yarn), Pipfile.lock/poetry.lock (Python), packages.lock.json (NuGet) gibi lock dosyaları, projenin belirli bağımlılık sürümlerini kilitleyerek farklı ortamlarda tutarlı ve tekrarlanabilir build'ler sağlar.

• Hata Yönetimi ve Loglama: Hata mesajlarında hassas sistem bilgilerini (stack trace, veritabanı detayları vb.) kullanıcıya göstermeyin. Loglara hassas verileri (şifre, kredi kartı vb.) yazmaktan kaçının veya maskeleyin. Güvenlik olaylarını (başarısız girişler, yetki hataları) loglayın.
• En Az Yetki Prensibi (Principle of Least Privilege): Uygulama süreçlerinin veya kullanıcıların sadece görevlerini yerine getirmek için gereken minimum izinlere sahip olmasını sağlayın.
• Güvenli Varsayılanlar (Secure Defaults): Uygulamanın varsayılan ayarlarının en güvenli seçenekler olmasını sağlayın. Kullanıcıların güvenliği artırmak için ekstra ayar yapması gerekmemeli.
• Bellek Yönetimi Güvenliği: Buffer overflow gibi bellek hatalarına karşı dikkatli olun (özellikle C/C++ gibi dillerde).
• Concurrency (Eşzamanlılık) Güvenliği: Çoklu thread ortamlarında race condition gibi sorunlara karşı senkronizasyon mekanizmalarını doğru kullanın.
• Kod Gözden Geçirme (Security Focus): Kod gözden geçirmeleri sırasında potansiyel güvenlik açıklarına özellikle dikkat edin.

API'ye istek yapan istemcinin veya kullanıcının kimliğini doğrulamak için kullanılır.

• API Anahtarları (API Keys): En basit yöntemlerden biridir. Her istemciye benzersiz bir anahtar verilir ve bu anahtar her istekte (genellikle HTTP başlığında - örn: Authorization: ApiKey YOUR_API_KEY veya X-API-Key: YOUR_API_KEY veya sorgu parametresi olarak - daha az güvenli) gönderilir.
  • Avantajları: Basit implementasyon.
  • Dezavantajları: Anahtar çalınırsa veya sızdırılırsa tam erişim sağlar. Genellikle kullanıcı bazlı yetkilendirme için uygun değildir. Güvenli bir şekilde saklanması ve iletilmesi gerekir (HTTPS zorunludur). Rotasyonu zordur. Genellikle herkese açık olmayan veya düşük riskli API'ler için kullanılır.
• Temel Kimlik Doğrulama (HTTP Basic Authentication): Kullanıcı adı ve şifre Base64 ile kodlanarak Authorization: Basic base64(username:password) başlığında gönderilir. Kesinlikle önerilmez, çünkü Base64 kolayca geri çözülebilir ve şifreler açık metin gibi iletilir. Sadece HTTPS üzerinden kullanılsa bile güvenli değildir.
• JWT (JSON Web Tokens): İstemci ile sunucu arasında güvenli bir şekilde bilgi (claims - iddialar) aktarmak için kullanılan, imzalanmış (ve isteğe bağlı olarak şifrelenmiş), kompakt ve kendi kendine yeterli (self-contained) bir standarttır (RFC 7519). Genellikle kimlik doğrulama sonrası kullanılır.
  • Yapısı: Üç bölümden oluşur (Başlık.Payload.İmza - xxxxx.yyyyy.zzzzz), Base64Url ile kodlanmıştır.
    • Başlık (Header): Token tipi (JWT) ve kullanılan imzalama algoritmasını (örn: HMAC SHA256 veya RSA) içerir.
    • Payload (Yük): İddiaları (claims) içerir. İddialar, kullanıcı ID, roller, son kullanma tarihi (exp), yayınlanma zamanı (iat) gibi bilgiler içeren anahtar-değer çiftleridir. Hassas bilgileri payload'a koymaktan kaçınılmalıdır (imzalı olsa bile şifreli değilse okunabilir).
    • İmza (Signature): Başlık ve payload'un, gizli bir anahtar (HMAC ile) veya özel/açık anahtar çifti (RSA/ECDSA ile) kullanılarak imzalanmasıyla oluşturulur. Bu imza, token'ın değiştirilmediğini doğrulamak için kullanılır.
  • Nasıl Çalışır (Genel Akış): Kullanıcı giriş yapar -> Sunucu kimliği doğrular -> Sunucu bir JWT oluşturur (içine kullanıcı ID, roller, son kullanma tarihi gibi bilgiler ekler) ve gizli anahtarla imzalar -> Sunucu JWT'yi istemciye gönderir -> İstemci JWT'yi saklar (localStorage, sessionStorage - XSS riski; veya HttpOnly cookie - CSRF riski olabilir) -> İstemci sonraki her istekte JWT'yi Authorization: Bearer başlığında gönderir -> Sunucu gelen token'ın imzasını kendi gizli anahtarıyla doğrular, son kullanma tarihini kontrol eder ve payload'daki bilgilere güvenerek isteği işler.
  • Avantajları: Durumsuz (Stateless - sunucuda oturum saklamaya gerek kalmaz, ölçeklenebilir), kendi kendine yeterli (payload bilgi taşır), farklı domainler arasında çalışabilir (CORS).
  • Dezavantajları/Dikkat Edilmesi Gerekenler: Token çalınırsa süresi dolana kadar kullanılabilir (kısa ömür önemlidir, refresh token mekanizması gerekebilir), gizli anahtarın güvenli saklanması kritiktir, payload şifreli değilse hassas veri konulmamalıdır.
• OAuth 2.0 ve OpenID Connect (OIDC):
  • OAuth 2.0: Bir yetkilendirme (authorization) framework'üdür. Kullanıcıların, şifrelerini vermeden, bir uygulamanın (istemci) başka bir uygulamadaki (kaynak sunucusu - örn: Google, Facebook) kendi verilerine sınırlı erişim izni vermesini sağlar. Farklı akış türleri (Authorization Code, Implicit - artık önerilmiyor, Client Credentials, Resource Owner Password Credentials - genellikle önerilmiyor) vardır. Sonucunda genellikle bir Erişim Token'ı (Access Token) alınır.
  • OpenID Connect (OIDC): OAuth 2.0 üzerine inşa edilmiş bir kimlik doğrulama (authentication) katmanıdır. OAuth 2.0 akışlarını kullanarak kullanıcının kimliğini doğrulamayı ve temel profil bilgilerini almayı standartlaştırır. Sonucunda Erişim Token'ına ek olarak bir Kimlik Token'ı (ID Token - genellikle JWT formatında) da alınır.
  OAuth 2.0 ve OIDC, özellikle üçüncü parti uygulamalara yetki verme veya merkezi kimlik doğrulama sistemleri (Single Sign-On - SSO) oluşturma senaryolarında kullanılır. API güvenliği için Erişim Token'ları (genellikle JWT veya opak token) kullanılır.

Kimliği doğrulanmış bir istemcinin veya kullanıcının belirli bir API endpoint'ine veya kaynağa erişim izni olup olmadığını kontrol etme işlemidir.

• Rol Tabanlı Erişim Kontrolü (RBAC): Kullanıcılara roller (admin, editör, okuyucu vb.) atanır ve API endpoint'lerine erişim bu rollere göre kısıtlanır.
• Kapsam Tabanlı Erişim Kontrolü (Scope-based - OAuth 2.0): Erişim token'ları belirli "kapsamlar" (scopes - örn: read:profile, write:posts) içerir. API endpoint'leri, gelen token'da gerekli kapsamın olup olmadığını kontrol eder.
• Nitelik Tabanlı Erişim Kontrolü (ABAC): Erişim kararları sadece role değil, kullanıcının, kaynağın veya ortamın çeşitli niteliklerine (örn: kullanıcının departmanı, kaynağın gizlilik seviyesi, günün saati) dayalı kurallarla verilir. Daha esnek ama daha karmaşıktır.

Yetkilendirme kontrolleri her zaman sunucu tarafında yapılmalı ve en az yetki prensibine uygun olmalıdır.

• Veri Doğrulama ve Sanitization: API'ye gelen tüm parametrelerin, istek gövdesindeki verilerin ve başlıklardaki değerlerin doğrulanması (input validation) ve gerektiğinde temizlenmesi (sanitization) enjeksiyon saldırılarını ve beklenmedik hataları önler.
• Hız Sınırlama (Rate Limiting): Belirli bir zaman diliminde bir istemcinin (IP adresi, API anahtarı, kullanıcı hesabı bazında) yapabileceği istek sayısını sınırlamaktır. Brute force saldırılarını, DoS (Denial of Service) saldırılarını ve API'nin kötüye kullanılmasını önlemeye yardımcı olur.
• HTTPS Zorunluluğu: Tüm API trafiği (istekler ve yanıtlar) HTTPS (TLS) üzerinden şifrelenmelidir. Bu, verilerin ağ üzerinde dinlenmesini (eavesdropping) ve değiştirilmesini (tampering) engeller.
• Güvenlik Başlıkları (HTTP Security Headers): Yanıtlarda uygun güvenlik başlıklarını (Strict-Transport-Security - HSTS, Content-Security-Policy - CSP, X-Content-Type-Options, X-Frame-Options vb.) göndermek, tarayıcı tabanlı bazı saldırı türlerini (XSS, clickjacking vb.) önlemeye yardımcı olabilir.
• Hata Yönetimi: Detaylı sistem bilgilerini veya stack trace'leri ifşa etmeyen genel ve bilgilendirici hata mesajları döndürülmelidir.
• Loglama ve İzleme: API kullanımını, hataları ve şüpheli aktiviteleri loglamak ve izlemek, sorunları tespit etmek ve güvenlik olaylarına müdahale etmek için kritiktir.
• API Gateway Kullanımı: API Gateway'ler, kimlik doğrulama, yetkilendirme, hız sınırlama, önbelleğe alma, loglama gibi ortak API yönetimi görevlerini merkezi bir noktadan yönetmek için kullanılabilir.

API güvenliği, modern uygulama mimarilerinin temel bir gerekliliğidir ve sürekli dikkat ve güncelleme gerektirir.