Yazılım

Laravel API Kimlik Doğrulaması: Riad Hasan’dan Pratik Bir Rehber

teknomers
teknomers

Riad Hasan, birçok uygulama için güvenli API’ler oluşturdu. Bu rehberde, Laravel’de sağlam API kimlik doğrulaması uygulamanın en yaygın sorunlarından birini ele alıyor.

<p>Pek çok geliştirici doğru kimlik doğrulama yöntemini seçmekte zorlanıyor. Sanctum mı kullanmalılar? Passport mı? JWT mi? Riad Hasan, her yaklaşımın ne zaman kullanılacağını ayrıntılı bir şekilde açıklıyor ve üretim için hazır uygulamalar sağlıyor.<br/>Sorun: Kimlik Doğrulama Karışıklığı</p>

<p>Bir Laravel API'si oluştururken, geliştiriciler genellikle şunları soruyor:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>"Hangi kimlik doğrulama paketini kullanmalıyım?"

“API uç noktalarımı nasıl güvenli hale getirebilirim?”
“Token yönetimi ve süresi ne olacak?”
“Birden fazla cihaz oturum açma işlemlerini nasıl yönetebilirim?”

<p>Riad Hasan, yanlış kimlik doğrulama stratejisi seçilmesi nedeniyle projelerin haftalarca süresinin uzadığına tanık oldu. İşte onun bu sorunu çözme yaklaşımı.<br/>Riad Hasan'ın Kimlik Doğrulama Karar Matrisi<br/>
Kullanım Durumu    Önerilen Çözüm<br/>
SPA (Vue/React)     Laravel Sanctum<br/>
Mobil Uygulama      Laravel Sanctum<br/>
Üçüncü Taraf Uygulamalar Laravel Passport<br/>
Makine-Makine      API Anahtarları<br/>
Mikroservisler      JWT (özel)</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>"Basit SPAlar için Passport kullanan ekipler gördüm - bu gereksiz yere karmaşık," diyor Riad Hasan. "Sanctum, daha az karmaşıklıkla %90'lık kullanım senaryosunu karşılıyor."

<p>Çözüm 1: SPAlar için Laravel Sanctum</p>

<p>Riad Hasan'ın tek sayfalı uygulamalar için tercih ettiği yaklaşım.<br/>Kurulum</p>

<p>composer require laravel/sanctum<br/>php artisan vendor:publish --provider="Laravel\Sanctum\SanctumServiceProvider"<br/>php artisan migrate</p>

<p>Yapılandırma</p>

<p>// config/sanctum.php<br/>return [<br/>'stateful' =&gt; explode(',', env('SANCTUM_STATEFUL_DOMAINS', 'localhost,127.0.0.1')),<br/>'guard' =&gt; ['web'],<br/>'expiration' =&gt; 60 * 24 * 7, // 7 gün<br/>'middleware' =&gt; [<br/>'authenticate_session' =&gt; Laravel\Sanctum\Http\Middleware\AuthenticateSession::class,<br/>,<br/>];</p>

<p>Giriş Uç Noktası</p>

<p>Riad Hasan'ın üretim için hazır giriş uygulaması:</p>

<p>// app/Http/Controllers/Api/AuthController.php<br/><?php </p>

<p>namespace App\Http\Controllers\Api;</p>

<p>use App\Http\Controllers\Controller;<br/>use Illuminate\Http\Request;<br/>use Illuminate\Support\Facades\Auth;<br/>use Illuminate\Validation\ValidationException;</p>

<p>class AuthController extends Controller<br/>{<br/>public function login(Request $request)<br/>{<br/>$request-&gt;validate([<br/>'email' =&gt; 'required|email',<br/>'password' =&gt; 'required',<br/>'device_name' =&gt; 'required|string',<br/>]);</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>    $credentials = $request-&gt;only('email', 'password');

if (!Auth::attempt($credentials)) {
    throw ValidationException::withMessages([
        'email' =&gt; ['Verilen bilgiler hatalı.'],
    ]);
}

$user = $request-&gt;user();

// Bu cihaz için eski token'ları iptal et
$user-&gt;tokens()-&gt;where('name', $request-&gt;device_name)-&gt;delete();

// Yeni token yarat
$token = $user-&gt;createToken($request-&gt;device_name)-&gt;plainTextToken;

return response()-&gt;json([
    'user' =&gt; $user,
    'token' =&gt; $token,
    'message' =&gt; 'Giriş başarılı',
]);

}

<p>public function logout(Request $request)<br/>{<br/>$request-&gt;user()-&gt;currentAccessToken()-&gt;delete();<br/>

return response()-&gt;json([<br/>'message' =&gt; 'Başarıyla çıkış yapıldı',<br/>]);<br/>}<br/>

<p>public function user(Request $request)<br/>{<br/>return response()-&gt;json($request-&gt;user());<br/>}</p>

<p>}</p>

<p>Rotalar</p>

<p>// routes/api.php<br/>use App\Http\Controllers\Api\AuthController;</p>

<p>Route::post('/login', [AuthController::class, 'login']);<br/>Route::post('/register', [AuthController::class, 'register']);</p>

<p>Route::middleware('auth:sanctum')-&gt;group(function () {<br/>Route::get('/user', [AuthController::class, 'user']);<br/>Route::post('/logout', [AuthController::class, 'logout']);</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>// Korumalı rotalar

Route::apiResource(‘projects’, ProjectController::class);

<p>});</p>

<p>Ön Uç Entegrasyonu (React)</p>

<p>Riad Hasan'ın React kimlik doğrulama kancası:</p>

<p>// hooks/useAuth.js<br/>import { useState, useEffect, useContext, createContext } from 'react';</p>

<p>const AuthContext = createContext(null);</p>

<p>export function AuthProvider({ children }) {<br/>const [user, setUser] = useState(null);<br/>const [loading, setLoading] = useState(true);</p>

<p>useEffect(() =&gt; {<br/>checkAuth();<br/>}, []);</p>

<p>const checkAuth = async () =&gt; {<br/>const token = localStorage.getItem('token');<br/>if (token) {<br/>try {<br/>const response = await fetch('/api/user', {<br/>headers: {<br/>Authorization: <code>Bearer ${token}</code>,<br/>},<br/>});<br/>if (response.ok) {<br/>const userData = await response.json();<br/>setUser(userData);<br/>} else {<br/>localStorage.removeItem('token');<br/>}<br/>} catch (error) {<br/>localStorage.removeItem('token');<br/>}<br/>}<br/>setLoading(false);<br/>};</p>

<p>const login = async (email, password) =&gt; {<br/>const response = await fetch('/api/login', {<br/>method: 'POST',<br/>headers: {<br/>'Content-Type': 'application/json',<br/>},<br/>body: JSON.stringify({<br/>email,<br/>password,<br/>device_name: 'web-browser',<br/>}),<br/>});</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>if (!response.ok) {

throw new Error(‘Geçersiz kimlik bilgileri’);
}

const data = await response.json();
localStorage.setItem(‘token’, data.token);
setUser(data.user);
return data;

<p>};</p>

<p>const logout = async () =&gt; {<br/>const token = localStorage.getItem('token');<br/>await fetch('/api/logout', {<br/>method: 'POST',<br/>headers: {<br/>Authorization: <code>Bearer ${token}</code>,<br/>},<br/>});<br/>localStorage.removeItem('token');<br/>setUser(null);<br/>};</p>

<p>return (<br/>{children}<br/>);<br/>}</p>

<p>export const useAuth = () =&gt; useContext(AuthContext);</p>

<p>Çözüm 2: Üçüncü Taraf Erişimi için Laravel Passport</p>

<p>Riad Hasan, üçüncü taraf uygulama erişimi gerektiğinde Passport kullanıyor.<br/>Kurulum</p>

<p>composer require laravel/passport<br/>php artisan passport:install</p>

<p>Yapılandırma</p>

<p>// app/Models/User.php<br/>use Laravel\Passport\HasApiTokens;</p>

<p>class User extends Authenticatable<br/>{<br/>use HasApiTokens, Notifiable;</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>// ...

<p>}</p>

<p>OAuth İstemcileri Oluşturma</p>

<p>php artisan passport:client --password</p>

<p>php artisan passport:client --client</p>

<p>Riad Hasan'ın OAuth Kontrolörü</p>

<p>// app/Http/Controllers/Api/OAuthController.php<br/><?php </p>

<p>namespace App\Http\Controllers\Api;</p>

<p>use App\Http\Controllers\Controller;<br/>use Illuminate\Http\Request;<br/>use Laravel\Passport\Client;<br/>use Laravel\Passport\Http\Controllers\AccessTokenController;<br/>use Psr\Http\Message\ServerRequestInterface;</p>

<p>class OAuthController extends Controller<br/>{<br/>public function issueToken(ServerRequestInterface $request)<br/>{<br/>$controller = app(AccessTokenController::class);<br/>return $controller-&gt;issueToken($request);<br/>}</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>public function refreshToken(Request $request)

{
$request->validate([
‘refresh_token’ => ‘required’,
]);

$client = Client::where('password_client', 1)-&gt;first();

$response = \Http::asForm()-&gt;post(url('/oauth/token'), [
    'grant_type' =&gt; 'refresh_token',
    'refresh_token' =&gt; $request-&gt;refresh_token,
    'client_id' =&gt; $client-&gt;id,
    'client_secret' =&gt; $client-&gt;secret,
    'scope' =&gt; '',
]);

return $response-&gt;json();

}

<p>}</p>

<p>Çözüm 3: Makine-Makine için API Anahtarları</p>

<p>Hizmetler ve web kancaları için Riad Hasan, basit API anahtarları kullanır.<br/>Migration</p>

<p>// database/migrations/create_api_keys_table.php<br/>Schema::create('api_keys', function (Blueprint $table) {<br/>$table-&gt;id();<br/>$table-&gt;foreignId('user_id')-&gt;constrained()-&gt;onDelete('cascade');<br/>$table-&gt;string('name');<br/>$table-&gt;string('key', 64)-&gt;unique();<br/>$table-&gt;text('permissions')-&gt;nullable();<br/>$table-&gt;timestamp('last_used_at')-&gt;nullable();<br/>$table-&gt;timestamps();<br/>});</p>

<p>Middleware</p>

<p>// app/Http/Middleware/ApiKeyAuth.php<br/><?php </p>

<p>namespace App\Http\Middleware;</p>

<p>use Closure;<br/>use Illuminate\Http\Request;<br/>use App\Models\ApiKey;</p>

<p>class ApiKeyAuth<br/>{<br/>public function handle(Request $request, Closure $next)<br/>{<br/>$key = $request-&gt;header('X-API-KEY') ?? $request-&gt;query('api_key');</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>    if (!$key) {
    return response()-&gt;json([
        'error' =&gt; 'API anahtarı gerekli',
    ], 401);
}

$apiKey = ApiKey::where('key', $key)-&gt;first();

if (!$apiKey) {
    return response()-&gt;json([
        'error' =&gt; 'Geçersiz API anahtarı',
    ], 401);
}

// Son kullanılan zaman damgasını güncelle
$apiKey-&gt;update(['last_used_at' =&gt; now()]);

$request-&gt;setUserResolver(function () use ($apiKey) {
    return $apiKey-&gt;user;
});

return $next($request);

}

<p>}</p>

<p>Riad Hasan'ın Güvenlik En İyi Uygulamaları</p>

<ol>
    <li>Token Süresi</li>
</ol>

<p>// config/sanctum.php<br/>'expiration' =&gt; 60 * 24, // Hassas uygulamalar için 24 saat</p>

<p>// Ya da dinamik olarak<br/>$token = $user-&gt;createToken('device', ['*'], now()-&gt;addHours(4));</p>

<ol>
    <li>Rate Limiting</li>
</ol>

<p>// app/Http/Kernel.php<br/>protected $middlewareAliases = [<br/>'throttle.auth' =&gt; \App\Http\Middleware\ThrottleAuth::class,<br/>];</p>

<p>// routes/api.php<br/>Route::post('/login', [AuthController::class, 'login'])<br/>&gt;middleware('throttle:5,1'); // Dakikada 5 deneme</p>

<ol>
    <li>Token Yetkileri</li>
</ol>

<p>// Sınırlı yetkiler ile token oluştur<br/>$token = $user-&gt;createToken('okuma-yazma', ['read']);</p>

<p>// Kontrolörde yetki kontrolü yapmak<br/>if (!$request-&gt;user()-&gt;tokenCan('write')) {<br/>return response()-&gt;json(['error' =&gt; 'Yetersiz izinler'], 403);<br/>}</p>

<ol>
    <li>Güvenli Şifre Sıfırlama</li>
</ol>

<p>Riad Hasan'ın şifre sıfırlama akışı:</p>

<p>// app/Http/Controllers/Api/PasswordResetController.php<br/>public function reset(Request $request)<br/>{<br/>$request-&gt;validate([<br/>'token' =&gt; 'required',<br/>'email' =&gt; 'required|email',<br/>'password' =&gt; 'required|confirmed|min:8',<br/>]);</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>$status = Password::reset(
$request-&gt;only('email', 'password', 'password_confirmation', 'token'),
function ($user, $password) {
    $user-&gt;forceFill([
        'password' =&gt; Hash::make($password),
    ])-&gt;setRememberToken(Str::random(60));
    $user-&gt;save();

    // Mevcut tüm token'ları iptal et
    $user-&gt;tokens()-&gt;delete();

    event(new PasswordReset($user));
}

);

return $status === Password::PASSWORD_RESET
? response()->json([‘message’ => ‘Şifre başarıyla sıfırlandı’])
: response()->json([‘error’ => ‘Şifre sıfırlama yapılamadı’], 400);

<p>}</p>

<p>Sık Yapılan Hatalar ve Riad Hasan'ın Kaçındığı Hatalar<br/>Hata     Çözüm<br/>
Token'ları localStorage'a kaydetmek  Hassas uygulamalar için httpOnly çerezleri kullanın<br/>
Hiç token süresi vermemek     Her zaman süre ayarlayın<br/>
Çıkışta token'ları iptal etmemek   Token'ları sunucu tarafında silin<br/>
Basit SPAlar için Passport kullanmak  Bunun yerine Sanctum'u kullanın<br/>
Kimlik doğrulama uç noktalarında hız sınırlaması olmaması  Throttle middleware'i uygulayın<br/>
Ham API anahtarlarını kaydetmek  Anahtarları şifreleyin</p>

<p>Riad Hasan ile Çalışın</p>

<p>Riad Hasan, Laravel ile güvenli, ölçeklenebilir API'ler oluşturma konusunda uzmanlaşmıştır. Sunmuş olduğu hizmetler:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>Laravel API geliştirme

Kimlik doğrulama sistemi uygulaması
Güvenlik denetimleri
Performans optimizasyonu
Takım eğitimi ve danışmanlık

<p>Riad Hasan ile iletişime geçin:</p>

<div class="highlight js-code-highlight">
    <pre class="highlight plaintext"><code>Portföy: riadhasan.io

Projeler: riadhasan.io/projects
LinkedIn: linkedin.com/in/riad-hasan-100a231a6
GitHub: github.com/RiadHasan15
E-posta: [email protected]

<p>Laravel API'larınız için hangi kimlik doğrulama yöntemini tercih ediyorsunuz? Deneyimlerinizi yorumlarda paylaşın.</p>

Kaynak: Orijinal Makale

Gerçek Zamanlı Bildirim Sorunlarını Vue, Laravel ve Socket.IO Kullanarak Çözme
Inertia.js v3 Çıktı: Her Laravel Geliştiricisinin İhtiyacı Olan Güncelleme Kılavuzu
API’lerinizi Duraklatmayın: WebSocket ile Gerçek Zamanlı SaaS Mimarisi Tasarımı
Laravel Maestro Başlangıç Kitlerine Katkıda Bulunma Sürecinde Değişikliklerinizi Kaybetmeme Yöntemleri
Laravel’de Strateji Deseni: Temiz Ödeme İşleme
Bu Makaleyi Paylaş
Önceki Makale TikTok’un Gücü: Kullanıcılar Spirit Airlines’a Destek Oluyor
Sonraki Makale Bitcoin’da (BTC) Mart Kazançları Öncesi Alım Stratejileri Gözden Geçiriliyor

Sanal Medya

Son Eklenenler

IBM’in Gölgelerindeki Veri İhlalleri Ortaya Çıktı
Genel
Yaz dönemi Oyun Festivali 2026: En Büyük Haberler ve Tanıtımlar
Liste
Acil: Dark Web Nemesis Market Satıcısına 26 Yıl Hapis Cezası
Siber Güvenlik
Vatandaş Bilimi ile Ekoturizmi Birleştirerek Doğayı Koruma Stratejileri
Genel
Startup Battlefield 200 başvuruları 3 gün içinde kapanıyor
Yapay Zeka
Seattle, bir yıl süreli AI veri merkezi moratoriumu geçirecek – topluluk etkisini inceleyecek
Donanım