Cevap.

BT sistemleri mimarisinde güvenlik birden fazla seviyede gerçekleştirilir: kimlik doğrulama, yetkilendirme, şifreleme, denetim ve izleme. Bu mekanizmaların kapsamlı bir şekilde uygulanması gerekmektedir; aksi takdirde bir halkadaki zafiyet tüm sistemi tehlikeye atar.

Entegre etmenin ana yolları:

• Trafiği korumak için şifreleme kullanın (Transport Layer Security, TLS)
• Merkezileştirilmiş kimlik doğrulama uygulayın: OAuth2, OpenID Connect
• API ve mikro hizmetler düzeyinde rol tabanlı yetkilendirmeyi kullanın
• Kritik bileşenlere erişim denetimi ve günlükleme

Express.js'te token (JWT) kontrolü için bir middleware örneği:

const jwt = require('jsonwebtoken');

function authMiddleware(req, res, next) {
    const token = req.headers['authorization'];
    try {
        const decoded = jwt.verify(token, 'SECRET_KEY');
        req.user = decoded;
        next();
    } catch (e) {
        res.status(401).send('Yetkisiz');
    }
}

Ana özellikler:

• Çok katmanlı (defense-in-depth) güvenlik stratejisi
• Minimal erişim hakları (principle of least privilege)
• Güvenli anahtar rotasyonu, gizli bilgilerin şifrelenmesi ve erişim kontrolü

Kandırmaca Soruları.

API trafiğini tam korumak için HTTPS kullanmak yeterli midir?

Hayır, HTTPS ile iletim korunur, ancak uç noktalar veya veri saklama güvenliği bakımından zafiyetlerin bulunmadığını garanti etmez.

OAuth2, bağımsız bir kimlik doğrulama sistemi midir?

Hayır, OAuth2 bir yetkilendirme protokolüdür; kullanıcı kimliğini elde etmek için OAuth2 üzerine OpenID Connect kullanılır.

Erişimi yönetmek için yalnızca üçüncü taraf hizmetlere (örneğin, IAM) güvenilebilir mi?

Hayır, uygulama içinde her zaman ikinci bir kontrol seviyesi gereklidir (örneğin, RBAC/ABAC), çünkü dış sistemlerdeki hatalar kritik kaynaklara erişimi açabilir.