• 23-11-2024, 00:36:00
    #1
    Blog sitesi kodlarken makaleler apiden nasıl çekilmeli? Şifreli çekilirse performans sorunu olabilir. api urlsine bir şekilde istek atıp içerikleri çekmelerini engellemek istiyorum en etkili yöntem nedir?
  • 23-11-2024, 00:37:49
    #2
    1. JWT veya API Key ile Doğrulama:
      API isteğinde bir JWT (JSON Web Token) veya API anahtarı kullanarak sadece yetkili istemcilerin erişim sağlamasını sağlayabilirsiniz.
    2. IP Kısıtlaması:
      API'yi sadece belirli IP adreslerinden erişilebilir hâle getirin (ör. sunucunuzun IP'si).
    3. Rate Limiting:
      API'ye yapılan istekleri belirli bir süre içinde sınırlayarak kötüye kullanımı engelleyin (örn. 100 istek/dakika).
    4. HMAC İmzası:
      Her API isteğinde sunucuyla paylaşılan bir gizli anahtarı kullanarak istekleri imzalayın. İmzalanmamış istekleri reddedin.
    5. Sunucu Taraflı Çekim:
      İçerikleri doğrudan frontend'den değil, backend sunucunuz üzerinden çekin ve frontend'e sunucunuzdan servis edin. Bu, API URL'sini gizler.
    6. CORS Ayarları:
      API'nin sadece izin verilen domainlerden gelen istekleri kabul etmesini sağlayın.
    En etkili yöntem IP kısıtlaması + sunucu taraflı çekimdir. Bu sayede API URL'sini tamamen gizleyebilirsiniz.
  • 23-11-2024, 00:48:03
    #3
    gusion adlı üyeden alıntı: mesajı görüntüle
    1. JWT veya API Key ile Doğrulama:
      API isteğinde bir JWT (JSON Web Token) veya API anahtarı kullanarak sadece yetkili istemcilerin erişim sağlamasını sağlayabilirsiniz.
    2. IP Kısıtlaması:
      API'yi sadece belirli IP adreslerinden erişilebilir hâle getirin (ör. sunucunuzun IP'si).
    3. Rate Limiting:
      API'ye yapılan istekleri belirli bir süre içinde sınırlayarak kötüye kullanımı engelleyin (örn. 100 istek/dakika).
    4. HMAC İmzası:
      Her API isteğinde sunucuyla paylaşılan bir gizli anahtarı kullanarak istekleri imzalayın. İmzalanmamış istekleri reddedin.
    5. Sunucu Taraflı Çekim:
      İçerikleri doğrudan frontend'den değil, backend sunucunuz üzerinden çekin ve frontend'e sunucunuzdan servis edin. Bu, API URL'sini gizler.
    6. CORS Ayarları:
      API'nin sadece izin verilen domainlerden gelen istekleri kabul etmesini sağlayın.
    En etkili yöntem IP kısıtlaması + sunucu taraflı çekimdir. Bu sayede API URL'sini tamamen gizleyebilirsiniz.
    JWT APİ panelde ekli genel kullanıcı sayfası için eklenen bir şey değil.
    Rate limiting ekledim ama tek istekte çekilebilir veriler.
    Cors ayarlarıda var ama botla referer ekleyip istek atmak zor değil çekilebilir.
    bazı yöntemlerde de header kopyalayıp istek attıklarında güvenliği geçiyor