IP Whitelist

IP Whitelist, belirli bir API anahtarını yalnızca tanımladığınız IP adreslerinden gelen isteklere yanıt verecek şekilde kısıtlamanızı sağlar. Sunucu-sunucu entegrasyonları veya CI/CD pipeline’ları için güçlü bir ek güvenlik katmanıdır.

Nasıl Çalışır?

API anahtarı oluşturulurken veya düzenlenirken bir veya birden fazla IP adresi/CIDR bloğu tanımlayabilirsiniz. Tanımlama yapılmışsa:

1. Gelen istek IP’si X-Forwarded-For veya CF-Connecting-IP başlığından okunur
2. IP, anahtara tanımlı whitelist ile karşılaştırılır
3. Eşleşme yoksa istek 403 Forbidden ile reddedilir

HTTP/1.1 403 Forbidden
 
{
  "success": false,
  "error": {
    "code": "IP_NOT_ALLOWED",
    "message": "Bu IP adresi bu API anahtarı için yetkili değil.",
    "details": {}
  }
}

Whitelist Yapılandırması

Sosyal Köprü Dashboard  → Ayarlar → API → anahtarınıza tıklayın → IP Kısıtlamaları bölümünden IP adreslerinizi ekleyin.

Desteklenen formatlar:

Brute-Force Koruması

IP Whitelist’ten bağımsız olarak, tüm API anahtarları için brute-force koruması aktiftir:

• 10 başarısız kimlik doğrulama denemesi sonrası kaynak IP 15 dakika boyunca engellenir
• Engel süresi dolduktan sonra otomatik olarak kaldırılır
• Bu koruma Redis üzerinde takip edilir

Engellenen bir IP’den gelen istek şu yanıtı alır:

{
  "success": false,
  "error": {
    "code": "TOO_MANY_ATTEMPTS",
    "message": "Çok fazla başarısız deneme. Lütfen 15 dakika sonra tekrar deneyin.",
    "details": {
      "blockedUntil": "2026-06-15T13:45:00.000Z"
    }
  }
}

Güvenlik Önerileri

Sunucu ortamı için: CI/CD veya backend servislerinizin statik IP’lerini mutlaka whitelist’e ekleyin. Bu, anahtarın sızdırılması durumunda bile yetkisiz kullanımı engeller.

Geliştirme ortamı için: sk_test_ prefix’li sandbox anahtarlarında IP kısıtlaması kullanmaktan kaçının — geliştirici IP’leri sık değişir.

Rotasyon stratejisi: Anahtarı yenilerken önce yeni anahtarı oluşturun, whitelist’i tanımlayın, test edin, ardından eskisini iptal edin.