Güvenlik & Erişim
Bu sayfa, çağıranların nasıl doğrulandığını ve hangi limitlerin geçerli olduğunu üst seviyede açıklar — böylece tek satır entegrasyon kodu yazmadan önce gateway'de ne beklemeniz gerektiğini bilirsiniz. Tam istek formatları Authentication ve API referans bölümlerinde yer alır; burada modele odaklanıyoruz.
Her istek gateway'den geçer
Tek bir giriş noktası vardır. Herhangi bir istek platforma ulaşmadan önce gateway, bir dizi kimlik ve politika kontrolü uygular. Herhangi bir kontrol başarısız olursa istek gateway'de reddedilir ve platforma veya custody'e asla ulaşmaz.
Güvenlik profilinize göre gateway şunları zorunlu kılar:
- Her bağlantıda taşıma güvenliği (TLS).
- Kimlik doğrulama — JWT, mTLS veya API key (aşağıya bakın).
- Daha yüksek güvence gerektiğinde bir istemci sertifikası.
- Kayıtlı ağ aralıklarınız için bir IP allow-list.
- İstemci başına rate ve kullanım limitleri.
Entegratörler nasıl kimlik doğrular?
Üçüncü parti entegratör olarak, güvenlik profilinize göre birlikte kullanılan birkaç mekanizmanız vardır:
| Mekanizma | Nedir |
|---|---|
| OAuth2 client credentials → JWT | Client credentials'ı kısa ömürlü bir bearer token ile takas eder, ardından her istekte gönderirsiniz. |
| mTLS istemci sertifikası | Bir istemci sertifikası, mutual TLS için güvenilen bir bundle'a karşı doğrulanır — yüksek güvence gerektiren istemciler için zorunludur. |
| API key | Belirli makine-makine yüzeyleri için doğrudan bir secret. |
| IP allow-list | Çağıran sisteminizin ağ aralıkları operatöre kaydedilir. |
Admin ve User UI çağıranları farklı kimlik doğrular (interaktif JWT oturumları), ancak bir entegratör olarak yukarıdaki makine-makine mekanizmalarını kullanırsınız.
Rate ve kullanım limitleri
Her istemcinin kendi bütçesi vardır — istek hızı ve periyodik kullanım kotaları — ve bunlar kimlik belirlendikten sonra uygulanır. Entegrasyonunuzu şuna göre tasarlayın:
- Rate-limit yanıtlarında geri çekilip yeniden deneyin (back off & retry).
- API toplu modlar sunuyorsa (örn. migration), çok sayıda tekil çağrı yerine toplu (batch) kullanın.
- Token'ları ve sık değişmeyen referans verisini kendi tarafınızda önbelleğe alın.
Güvenebileceğiniz sınırlar
- Yalnızca public Integration API'ye ulaşırsınız. Platformun iç yapısı ve custody servisi asla doğrudan erişilebilir değildir.
- Özel anahtarlar custody'den asla çıkmaz ve entegratörlere asla ifşa edilmez.
- Kişisel veri minimize edilir. Desteklenen yerlerde, kişisel bilgi yerine opak dış tanımlayıcılar kullanılabilir (KVKK / GDPR uyumu açısından önemli) — bir örnek için Migration bölümüne bakın.
Canlıya çıkmadan önce
Kısa bir ön kontrol listesi:
- Client credentials'ı (ve gerekiyorsa bir mTLS sertifikasını) edinin.
- Kaynak IP aralıklarınızı operatöre kaydettirin.
- Test ve production base URL'lerini ve hedef blokzincir ağını doğrulayın.
- Asenkron callback'ler için bir webhook endpoint'i ayağa kaldırın.
- Rate/kullanım bütçenizin beklediğiniz trafiğe uyduğunu doğrulayın.