API Anahtar─▒ Nedir ve Nas─▒l G├╝venle Kullan─▒l─▒r?
Ana sayfa
Makaleler
API Anahtar─▒ Nedir ve Nas─▒l G├╝venle Kullan─▒l─▒r?

API Anahtar─▒ Nedir ve Nas─▒l G├╝venle Kullan─▒l─▒r?

Orta Seviye
Yay─▒nlanma: Jan 6, 2023G├╝ncellenme: Feb 21, 2023
7m


Bir uygulama programlama aray├╝z├╝ (API) anahtar─▒, talebi yapan uygulama veya kullan─▒c─▒y─▒ tan─▒mlamak i├žin API taraf─▒ndan kullan─▒lan benzersiz bir koddur. API anahtarlar─▒ hem bir API'nin kim taraf─▒ndan ve nas─▒l kullan─▒ld─▒─č─▒n─▒ izlemek ve kontrol etmek hem de kullan─▒c─▒ adlar─▒ ve ┼čifrelerin ├žal─▒┼čmas─▒na benzer ┼čekilde uygulamalar─▒n kimli─čini do─črulamak ve onlar─▒ yetkilendirmek i├žin kullan─▒l─▒r. Bir API anahtar─▒, tek bir anahtar veya birden fazla anahtardan olu┼čabilir. Kullan─▒c─▒lar, API anahtar─▒ h─▒rs─▒zl─▒─č─▒na kar┼č─▒ genel g├╝venliklerini art─▒rmak ve API anahtarlar─▒n─▒n ele ge├žirilmesinden do─čacak sonu├žlardan ka├ž─▒nmak i├žin en iyi uygulamalar─▒ takip etmelidir.

API ve API Anahtar─▒ aras─▒ndaki farklar

Bir API anahtar─▒n─▒n ne oldu─čunu anlamak i├žin ├Âncelikle bir API'nin ne oldu─čunu anlaman─▒z gerekir. Bir uygulama programlama aray├╝z├╝ veya API, iki veya daha fazla uygulaman─▒n bilgi payla┼čmas─▒na imkan tan─▒yan bir yaz─▒l─▒m arac─▒s─▒d─▒r. ├ľrne─čin CoinMarketCap'in API'si, di─čer uygulamalar─▒n fiyat, hacim ve piyasa de─čeri gibi kripto verilerini almas─▒na ve kullanmas─▒na imkan tan─▒r.

Bir API anahtar─▒ farkl─▒ bir├žok bi├žimde olabilir. ├ľrne─čin, tek bir anahtardan veya birden fazla anahtar─▒ i├žeren bir gruptan olu┼čabilir. Farkl─▒ sistemler, bir kullan─▒c─▒ ad─▒ ve ┼čifrenin kullan─▒m─▒na benzer ┼čekilde bir uygulaman─▒n kimli─čini do─črulamak ve onu yetkilendirmek i├žin bu anahtarlar─▒ kullan─▒r. Bir API anahtar─▒, API'ye talep g├Ânderen bir uygulaman─▒n kimli─čini do─črulamak i├žin bir API istemcisi taraf─▒ndan kullan─▒l─▒r.┬á

├ľrne─čin Binance Academy, CoinMarketCap API'sini kullanmak isterse, CoinMarketCap taraf─▒ndan bir API anahtar─▒ olu┼čturulacak ve bu anahtar, API eri┼čimi talep eden Binance Academy'nin (API istemcisi) kimli─čini do─črulamak i├žin kullan─▒lacakt─▒r. Binance Academy, CoinMarketCap'in API'sine eri┼čti─činde, eri┼čim talebiyle birlikte bu API anahtar─▒ da CoinMarketCap'e g├Ânderilmelidir.┬á

Bu API anahtar─▒ yaln─▒zca Binance Academy taraf─▒ndan kullan─▒lmal─▒, ba┼čkalar─▒yla payla┼č─▒lmamal─▒ veya ba┼čkalar─▒na g├Ânderilmemelidir. API anahtar─▒n─▒n payla┼č─▒lmas─▒, bir ├╝├ž├╝nc├╝ taraf─▒n CoinMarketCap'e Binance Academy olarak eri┼čmesine imkan tan─▒yacak ve ├╝├ž├╝nc├╝ taraf─▒n ger├žekle┼čtirdi─či herhangi bir eylemin Binance Academy'den geliyormu┼č gibi g├Âz├╝kmesine neden olacakt─▒r.

API anahtar─▒, uygulaman─▒n talep etti─či kayna─ča eri┼čme yetkisinin olup olmad─▒─č─▒n─▒ do─črulanmak i├žin CoinMarketCap API'si taraf─▒ndan da kullan─▒labilir. Buna ek olarak, API sahipleri taleplerin t├╝r├╝, trafi─či ve hacmi gibi API etkinliklerini izlemek i├žin API anahtarlar─▒n─▒ kullan─▒r.┬á

API Anahtarı Nedir? 

Bir API anahtar─▒, bir API'nin kim taraf─▒ndan ve nas─▒l kullan─▒ld─▒─č─▒n─▒ kontrol etmek ve izlemek i├žin kullan─▒l─▒r. "API anahtar─▒" terimi, farkl─▒ sistemlerde farkl─▒ anlamlara gelebilir. Baz─▒ sistemler, tek bir koda sahipken baz─▒lar─▒ tek bir "API anahtar─▒" i├žin birden fazla koda sahip olabilir.┬á┬á┬á

Dolay─▒s─▒yla bir "API anahtar─▒", talep yapan kullan─▒c─▒ veya uygulaman─▒n kimli─čini do─črulamak ve onu yetkilendirmek i├žin bir API taraf─▒ndan kullan─▒lan benzersiz bir kod veya bir dizi benzersiz koddur. Baz─▒ kodlar kimlik do─črulamak, baz─▒lar─▒ ise bir talebin me┼črulu─čunu kan─▒tlamak amac─▒yla kriptografik imzalar olu┼čturmak i├žin kullan─▒l─▒r.┬á

Bu kimlik do─črulama kodlar─▒na genellikle "API anahtar─▒" ad─▒ verilirken, kriptografik imzalar i├žin kullan─▒lan kodlar "gizli anahtar", "herkese a├ž─▒k anahtar" veya "├Âzel anahtar" gibi farkl─▒ adlara sahiptir. Kimlik do─črulama, ilgili birimlerin kimli─čini tespit etmeyi ve s├Âyledikleri ki┼či olduklar─▒n─▒ do─črulamay─▒ gerektirir.

Di─čer yandan yetkilendirme, eri┼čimine izin verilen API hizmetlerini belirler. Bir API anahtar─▒n─▒n i┼člevi, bir hesap kullan─▒c─▒ ad─▒ ve ┼čifresininkine benzerlik g├Âsterir. Genel anlamda g├╝venli─či art─▒rmak i├žin di─čer g├╝venlik ├Âzelliklerine de ba─članabilir.┬á

Her bir API anahtar─▒, genellikle API sahibi taraf─▒ndan belirli bir birim i├žin olu┼čturulur (a┼ča─č─▒da bundan daha ayr─▒nt─▒l─▒ bahsedece─čiz) ve kullan─▒c─▒ kimlik do─črulamas─▒, yetkilendirmesi veya her ikisini birden gerektiren bir API u├ž noktas─▒na yap─▒lan t├╝m taleplerde ilgili anahtar kullan─▒l─▒r.

Kriptografik ─░mzalar

Baz─▒ API anahtarlar─▒, ek bir do─črulama katman─▒ olarak kriptografik imzalar─▒ kullan─▒r. Bir kullan─▒c─▒ belirli verileri bir API'ye g├Ândermek istedi─činde, ba┼čka bir anahtar taraf─▒ndan olu┼čturulan dijital imza talebe eklenebilir. API sahibi, kriptografi kullanarak bu dijital imzan─▒n g├Ânderilen verilerle e┼čle┼čti─čini do─črulayabilir.

Simetrik ve Asimetrik İmzalar 

Bir API arac─▒l─▒─č─▒yla payla┼č─▒lan veriler, a┼ča─č─▒daki kategorilere ay─▒rabilece─čimiz kriptografik anahtarlarla imzalanabilir:

Simetrik anahtarlar

Bunlar anahtarlar, hem verilerin imzalanmas─▒ hem de bir imzan─▒n do─črulanmas─▒ i├žin tek bir gizli anahtar─▒n kullan─▒lmas─▒n─▒ i├žerir. Simetrik anahtarlarda API anahtar─▒ ve gizli anahtar, genellikle API sahibi taraf─▒ndan olu┼čturulur ve API hizmetinin imza do─črulamas─▒ i├žin ayn─▒ gizli anahtar─▒ kullanmas─▒ gerekir. Tek bir anahtar kullanman─▒n ba┼čl─▒ca avantaj─▒, imza olu┼čturmak ve do─črulamak i├žin daha az hesaplama g├╝c├╝ gerektirmesi ve ├žok daha h─▒zl─▒ olmas─▒d─▒r. HMAC, simetrik anahtar─▒n iyi bir ├Ârne─čidir.

Asimetrik anahtarlar

Bu kategori, iki anahtar─▒n kullan─▒m─▒n─▒ i├žerir: farkl─▒ fakat kriptografik olarak ba─člant─▒l─▒ olan bir ├Âzel anahtar ve bir herkese a├ž─▒k anahtar. ├ľzel anahtar imza olu┼čturmak, herkese a├ž─▒k anahtar ise imzay─▒ do─črulamak i├žin kullan─▒l─▒r. API anahtar─▒ API'nin sahibi taraf─▒ndan, ├Âzel anahtar ve herkese a├ž─▒k anahtar ├žifti ise kullan─▒c─▒ taraf─▒ndan olu┼čturulur. ─░mza do─črulamas─▒ i├žin API'nin sahibinin yaln─▒zca herkese a├ž─▒k anahtar─▒ kullanmas─▒ yeterlidir, dolay─▒s─▒yla ├Âzel anahtar ki┼čiye ├Âzel ve gizli kalabilir.┬á

Asimetrik anahtar kullanman─▒n ba┼čl─▒ca avantaj─▒, imza olu┼čturma ve do─črulama anahtarlar─▒n─▒ ay─▒rman─▒n sundu─ču daha y├╝ksek g├╝venliktir. Bu sayede, harici sistemler bir imza olu┼čturamaz fakat imzalar─▒ do─črulayabilir. Di─čer bir avantaj ise baz─▒ asimetrik ┼čifreleme sistemlerinin ├Âzel anahtarlara bir parola eklemeyi desteklemesidir. RSA anahtar ├žifti, bunun iyi bir ├Ârne─čidir.┬á

API Anahtarları Güvenli midir? 

Bir API anahtar─▒n─▒n sorumlulu─ču kullan─▒c─▒ya aittir. API anahtarlar─▒ ┼čifrelere benzerdir ve ayn─▒ ├Âzenle ele al─▒nmas─▒ gerekir. Bir API anahtar─▒n─▒n payla┼č─▒lmas─▒, bir ┼čifrenin payla┼č─▒lmas─▒ gibidir ve kullan─▒c─▒n─▒n hesab─▒n─▒ riske ataca─č─▒ i├žin bundan ka├ž─▒n─▒lmal─▒d─▒r.┬á

API anahtarlar─▒, sistemler ├╝zerinde ki┼čisel bilgileri talep etmek veya finansal i┼člemler ger├žekle┼čtirmek gibi g├╝├žl├╝ i┼člemler i├žin kullan─▒labildi─činden, siber sald─▒r─▒larda s─▒k├ža hedef al─▒n─▒r. Asl─▒nda, web taray─▒c─▒ sistemlerinin API anahtarlar─▒n─▒ ├žalmak i├žin ├ževrimi├ži kod veritabanlar─▒na sald─▒rd─▒─č─▒ vakalar ya┼čanm─▒┼čt─▒r.

API anahtar─▒ h─▒rs─▒zl─▒─č─▒ ciddi sonu├žlar do─črulabilir ve ├Ânemli finansal kay─▒plara yol a├žabilir. Dahas─▒, baz─▒ API anahtarlar─▒n─▒n ge├žerlilik s├╝resi sona ermedi─činden, ├žal─▒nmalar─▒ durumunda iptal edilene kadar sald─▒rganlar taraf─▒ndan s├╝resiz olarak kullan─▒labilirler.

API Anahtarlar─▒n─▒ Kullan─▒rken En ─░yi Uygulamalar

Hassas verilere eri┼čimleri ve genel anlamda istismara a├ž─▒k olmalar─▒ nedeniyle API anahtarlar─▒n─▒ g├╝venli bir ┼čekilde kullanmak b├╝y├╝k ├Ânem ta┼č─▒r. API anahtarlar─▒n─▒ kullan─▒rken bu anahtarlar─▒n genel anlamda g├╝venli─čini art─▒rmak i├žin ┼ču en iyi uygulama y├Ânergelerini takip edebilirsiniz:┬á

  1. M├╝mk├╝nse API anahtarlar─▒n─▒z─▒ s─▒k s─▒k de─či┼čtirin. Bunun i├žin mevcut API anahtar─▒n─▒z─▒ silmeniz ve yeni bir anahtar olu┼čturman─▒z gerekir. ├çoklu sistemlerde, API anahtarlar─▒n─▒ olu┼čturmak ve silmek kolayd─▒r. Baz─▒ sistemlerin ┼čifrenizi her 30 ila 90 g├╝nde bir de─či┼čtirmenizi gerektirmesi gibi, m├╝mk├╝nse API anahtarlar─▒n─▒z─▒ da benzer bir s─▒kl─▒kta de─či┼čtirmelisiniz.

  2. IP beyaz listesi kullan─▒n: Bir API anahtar─▒ olu┼čturdu─čunuzda, anahtar─▒ kullanmaya yetkili IP'lerin bir listesini (IP beyaz listesi) olu┼čturun. Engellenen IP'lerin bir listesini de (IP kara listesi) olu┼čturabilirsiniz. Bu sayede, API anahtar─▒n─▒z ├žal─▒nsa bile tan─▒nmayan bir IP taraf─▒ndan eri┼čilemez.

  3. Birden fazla API anahtar─▒ kullan─▒n: Birden fazla anahtara sahip olmak ve sorumluluklar─▒ bunlar aras─▒nda b├Âlmek g├╝venlik riskini azaltacakt─▒r, ├ž├╝nk├╝ b├Âylece g├╝venli─činiz her ┼čey i├žin izne sahip tek bir anahtara ba─čl─▒ kalmaz. Ayn─▒ zamanda, her bir anahtar i├žin farkl─▒ IP beyaz listeleri belirleyerek g├╝venlik riskinizi daha da azaltabilirsiniz.┬á

  4. API anahtarlar─▒n─▒ g├╝venli bir ┼čekilde saklay─▒n: Anahtarlar─▒n─▒z─▒ halka a├ž─▒k yerlerde, halka a├ž─▒k bilgisayarlarda veya orijinal d├╝z metin format─▒nda saklamay─▒n. Bunun yerine, daha fazla g├╝venlik i├žin her bir anahtar─▒ ┼čifreleyerek veya bir ┼čifre y├Âneticisi kullanarak saklay─▒n ve anahtarlar─▒n─▒z─▒ yanl─▒┼čl─▒kla payla┼čmamaya dikkat edin.┬á

  5. API anahtarlar─▒n─▒z─▒ payla┼čmay─▒n. API anahtar─▒n─▒z─▒ payla┼čman─▒z, ┼čifrenizi payla┼čman─▒za benzer. Anahtar─▒n─▒z─▒ payla┼č─▒rsan─▒z, sizin d─▒┼č─▒n─▒zda bir tarafa sizinle ayn─▒ kimlik do─črulama ve yetkilendirme ayr─▒cal─▒klar─▒n─▒ vermi┼č olursunuz. Bu ki┼čilerin g├╝venli─či ihlal edilirse, API anahtar─▒n─▒z ├žal─▒nabilir ve hesab─▒n─▒za bir sald─▒r─▒ d├╝zenlemek i├žin kullan─▒labilir. Bir API anahtar─▒ her zaman yaln─▒zca siz ve anahtar─▒ olu┼čturan sistem taraf─▒ndan kullan─▒lmal─▒d─▒r.

API anahtar─▒n─▒z ele ge├žirilirse, daha fazla hasar─▒ ├Ânlemek i├žin ├Âncelikle anahtar─▒ devre d─▒┼č─▒ b─▒rakman─▒z gerekir. Herhangi bir maddi kay─▒p varsa, olayla ilgili ├Ânemli bilgilerin ekran g├Âr├╝nt├╝lerini al─▒n, ilgili birimlerle ileti┼čime ge├žin ve durumu polise bildirin. Kay─▒p fonlar─▒n─▒z─▒ geri alma ┼čans─▒n─▒z─▒ art─▒rman─▒n en iyi yolu budur.┬á

Son S├Âz

API anahtarlar─▒, temel kimlik do─črulama ve yetkilendirme i┼člevleri sunar ve kullan─▒c─▒lar─▒n anahtarlar─▒n─▒ dikkatli bir ┼čekilde y├Ânetmesi ve korumas─▒ gerekir. API anahtarlar─▒n─▒n kullan─▒m─▒n─▒ g├╝venli hale getirmenin bir├žok katman─▒ ve y├Ân├╝ vard─▒r. Genel olarak, API anahtar─▒n─▒z─▒ bir hesap ┼čifresi gibi ele alman─▒z en do─črusudur.

Ek Okumalar