Modern API tabanlı uygulamalarda token tabanlı kimlik doğrulama artık standart haline geldi. Peki, token nedir ve access token ile refresh token nasıl çalışır?
Token Nedir?
Token, kullanıcıyı doğrulayan ve API erişimini kontrol eden dijital bir anahtardır. Modern kimlik doğrulamada, kullanıcının her istekte şifre göndermesi yerine access token ile hızlı ve güvenli doğrulama yapılır.
Access Token Nedir?
Access token kısa ömürlüdür (genellikle 15–30 dakika). API isteklerinde Authorization: Bearer <token> olarak gönderilir ve kullanıcının kimliği ile yetkilerini içerir.
Refresh Token Nedir?
Refresh token ise uzun ömürlüdür (günler veya haftalarca geçerli olabilir). Access token süresi dolduğunda, yeni bir access token almak için kullanılır. Refresh token rotation ile her kullanımda yenisi üretilirse, çalınma riskine karşı ekstra güvenlik sağlar.
Güvenli Saklama ve Best Practices
- Web: HttpOnly ve Secure cookie ile saklama önerilir.
- Mobil: Keychain ya da Keystore kullanılmalı.
- Ek Güvenlik: Rate limiting, revocation (kara liste), HTTPS kullanımı şarttır.
Kısaca
- Access token: Kısa süreli, API erişimi sağlar.
- Refresh token: Uzun süreli, yeni access token üretmek için kullanılır.
- Token rotation: Güvenlik için kritik.
- Doğru saklama: XSS ve çalınma riskini azaltır.
Daha fazla bilgi için: Token Nedir ve Kimlik Doğrulama Akışları
Yorum ve sorularınızı bekliyorum! 🚀
Top comments (0)