Dokümanlar / Başlarken

API Anahtarı

Bu sayfada

API Anahtarı
Anahtarı nasıl alırsınız
Anahtar biçimi
İstek başlığı
Anahtarı nereye saklayın
Yaşam döngüsü
Active (varsayılan 365 gün)
Expiring (son 7 gün)
Expired (grace süresi de dolduktan sonra)
Rotasyon
Birden fazla anahtar

API Anahtarı

Regvion API anahtarları kendi kendine kayıt yoluyla alınmaz — satış süreci sonunda Regvion admin paneli üzerinden sizin için oluşturulur. Bu sayfa anahtarın yaşam döngüsünü, nasıl teslim alındığını ve nasıl güvende tutulacağını anlatır.

Anahtarı nasıl alırsınız

Satış ekibi tenant'ınızı portalda oluşturur ve iletişim e-posta adresinize bir davet gönderir.
E-postadaki "API Anahtarını Göster" bağlantısı sizi https://portal.regvion.com/api-key/reveal?token=... adresine götürür.
Açılan sayfada bir onay butonu vardır — butonu tıklayana kadar anahtar gösterilmez. (Bu adım kasıtlıdır: Gmail/Outlook gibi e-posta önizleyicileri bağlantıları otomatik olarak ziyaret eder; GET isteği token'ı yakmaz, yalnızca POST yakar.)
Butona tıkladığınız anda anahtar bir kez ekranda gösterilir. Sayfadan ayrıldığınızda veya yenilediğinizde token harcanmış olur ve anahtar bir daha gösterilmez.

Anahtar biçimi

rgv_live_<64 karakter hex>

Örn: rgv_live_a1b2c3... (toplam 73 karakter). Sunucuda yalnızca SHA-256 hash'i saklanır; orijinal anahtar sunucuda bile yoktur. Kaybolursa yeniden gösterilemez — rotate etmek gerekir.

İstek başlığı

X-API-Key: rgv_live_<key>

Her isteğe eklenir. Eksik veya yanlışsa 401 UNAUTHORIZED döner. Büyük/küçük harf duyarlıdır.

Anahtarı nereye saklayın

Üretim: HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager gibi yönetilen secret store.
CI/CD: GitHub Actions Secrets / GitLab CI Variables.
Geliştirici makinesi: .env dosyası (.gitignore içinde olmak kaydıyla) veya OS keychain.

Asla yapmayın:

Anahtarı kaynak kodunda sabitlemek.
Anahtarı tarayıcıda çalışan JavaScript bundle'ına katıştırmak (sunucudan sunucuya tasarlanmıştır; tarayıcı isteklerinde CORS headers eklenmez).
Anahtarı Slack/e-posta/issue yorumlarında düz metin olarak paylaşmak.
Anahtarı public git deposuna commitlemek — rgv_live_ öneki gitleaks/trufflehog gibi tarayıcıların hemen yakaladığı bir imzadır.

Yaşam döngüsü

Her anahtarın üç durumu vardır:

Active (varsayılan 365 gün)

Normal çalışma. İstekler 200 döner. Tier izniniz yettiği sürece her uç noktaya erişirsiniz.

Expiring (son 7 gün)

Anahtarın son kullanma tarihinden önceki 7 gün boyunca istekler hâlâ başarılı olur ancak yanıt aşağıdaki başlıkları taşır:

X-API-Key-Status: renewal-required
X-API-Key-Expires-In: 4d

Bu pencerede admin'inizden yeni anahtar oluşturmasını isteyin. Yeni anahtarı paralel kullanıma aldıktan sonra eski anahtar süresiz pasife alınabilir.

Üretimde mutlaka: İzleme platformunuzda (Datadog, Grafana, New Relic) X-API-Key-Status başlığını izleyin ve alarm kurun. Aksi halde 7 gün sonra servisiniz 403 almaya başlar.

Expired (grace süresi de dolduktan sonra)

403 Forbidden + KEY_EXPIRED hata kodu. Tüm istekler reddedilir. Admin yeni anahtar rotate etmek zorundadır.

{
  "success": false,
  "error": {
    "code": "KEY_EXPIRED",
    "message": "API key has expired. Contact your administrator to renew."
  }
}

Rotasyon

Rotasyon admin panelinden yapılır (Regvion.Web — /Api/Customers sayfası → anahtar listesi → "Yenile"). Yeni anahtar oluşturulduğunda:

Yeni anahtar için de aynı reveal e-postası iletişim adresine gönderilir.
Eski anahtar hemen iptal edilmez — siz iptal isteyene kadar aktif kalabilir.
Üretime yeni anahtarı dağıtın (config/secret rotate).
Eski anahtarı iptal edin — en fazla 5 dakikalık Redis cache gecikmesiyle istekleri reddetmeye başlar. Acil iptal gerekiyorsa [email protected] adresine yazın.

Birden fazla anahtar

Enterprise müşterileri aynı anda birden çok anahtara sahip olabilir (kesintisiz rotasyon için). Her anahtar aynı müşteriye, aynı tier'a, aynı izin setine bağlıdır — sadece rotasyon cihazı olarak ayrılırlar.