1. HTTPS Kullanmak: Güvenli İletişim İçin Temel Adım
İlk olarak, API’nizin kullanıcılarla güvenli bir şekilde iletişim kurmasını sağlamak gerekiyor. Burada en temel güvenlik önlemlerinden biri, HTTPS kullanmaktır. HTTP’nin aksine, HTTPS şifreli bir protokol olup, verilerin üçüncü şahıslar tarafından ele geçirilmesini engeller. Web sunucunuzda SSL/TLS sertifikalarını aktif hale getirmek için yalnızca birkaç adım atmanız yeterli. Node.js ile API oluştururken HTTPS’i etkinleştirmek, veri güvenliğinizi artırmanın ilk adımıdır.
const https = require('https');
const fs = require('fs');
const options = {
key: fs.readFileSync('path/to/your/private.key'),
cert: fs.readFileSync('path/to/your/certificate.crt')
};
https.createServer(options, (req, res) => {
res.writeHead(200);
res.end('Hello, Secure World!');
}).listen(3000);
Bu basit Node.js kodu, HTTPS ile çalışan bir sunucu başlatır. Böylece API'niz üzerinden gerçekleşen her iletişim şifrelenir.
2. API Anahtarları ve Kimlik Doğrulama Kullanmak
API’nizle etkileşime giren kullanıcıları kontrol etmek ve kimliklerini doğrulamak oldukça önemlidir. API anahtarları kullanarak, yalnızca yetkilendirilmiş kullanıcıların erişimini sağlamayı unutmayın. JWT (JSON Web Tokens) gibi kimlik doğrulama yöntemleri, kullanıcıların API'ye güvenli bir şekilde bağlanmasını sağlar.
const jwt = require('jsonwebtoken');
// Kullanıcıyı doğrulamak için token oluştur
const token = jwt.sign({ username: 'user123' }, 'secret_key', { expiresIn: '1h' });
// Token ile güvenli erişim sağla
app.post('/api/data', (req, res) => {
const token = req.headers['authorization'];
jwt.verify(token, 'secret_key', (err, decoded) => {
if (err) {
return res.status(401).send('Unauthorized');
}
res.status(200).send('Data access granted');
});
});
Bu basit kimlik doğrulama kodu, token kullanarak API’ye güvenli erişim sağlar.
3. Rate Limiting ile DDoS Saldırılarını Engellemek
Birçok saldırgan, API’nizi kötüye kullanarak kaynakları tükenmeye çalışabilir. Rate limiting, bu tür saldırılara karşı etkili bir savunmadır. Rate limiting, belirli bir süre içinde yapılan istek sayısını sınırlar ve böylece bir DDoS (Distributed Denial of Service) saldırısının önüne geçer.
const rateLimit = require('express-rate-limit');
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 dakika
max: 100 // 15 dakika içinde 100 istek
});
app.use(limiter);
Yukarıdaki kod, Express.js üzerinde rate limiting uygulanmasını sağlar. Bu sayede API’niz aşırı yükten korunur.
4. CORS Politikalarını Konfigüre Etmek
Cross-Origin Resource Sharing (CORS), API’nizin hangi domain’lerden erişilebileceğini belirler. CORS ayarlarını doğru şekilde yapılandırmak, kötü niyetli sitelerin API’nize erişimini engeller. Özellikle, yalnızca belirli bir kaynağa (örneğin, sizin web sitenize) izin vererek güvenliği artırabilirsiniz.
const cors = require('cors');
const corsOptions = {
origin: 'https://yourdomain.com', // Sadece bu domain'e izin ver
methods: ['GET', 'POST']
};
app.use(cors(corsOptions));
Bu CORS yapılandırması, yalnızca belirtilen domain’in API’nize erişmesini sağlar.
5. Güvenlik Açıkları İçin Düzenli Tarama Yapmak
Son olarak, API’nizin güvenliğini sürekli izlemek çok önemlidir. Yazılım güncellemelerini takip etmek, üçüncü parti kütüphaneleri güncel tutmak ve güvenlik açıklarını taramak her zaman yapılması gereken rutinlerdendir. Node.js için popüler güvenlik tarama araçları arasında “nsp” (Node Security Platform) ve “snyk” yer alır. Bu araçlar, projelerdeki potansiyel güvenlik açıklarını tespit eder.
const snyk = require('snyk');
// Projeyi taramak için Snyk kullanımı
snyk.test('/path/to/your/project').then((res) => {
console.log(res);
});
Bu araçlarla, uygulamanızda bulunan güvenlik açıklarını anında tespit edebilir ve düzeltme işlemlerine başlayabilirsiniz.
Sonuç
API güvenliği, yalnızca uygulamanızın güvenliğini sağlamakla kalmaz, aynı zamanda kullanıcılarınızın verilerini de korur. Node.js ile API geliştirenler için yukarıda bahsettiğimiz 5 güvenlik stratejisini uygularsanız, güvenlik konusunda önemli bir adım atmış olursunuz. Unutmayın, güvenlik bir defaya mahsus bir işlem değil, sürekli bir süreçtir!
