Guvenlik Genel Bakisi
SetGet, guvenligi temel bir gereksinim olarak tasarlanmistir. Platform, verilerinizi birden fazla katmanla korur: guclu kimlik dogrulama, ayrintili yetkilendirme, sifreli iletisim, guvenli oturum yonetimi ve yonetimsel kontroller. Bu sayfa guvenlik modeline genel bir bakis sunar ve her alan icin ayrintili dokumantasyona baglantilar icerir.
Kimlik Dogrulama
Kimlik dogrulama, bir kullanicinin iddia ettigi kisi oldugunu dogrular. SetGet, farkli kurumsal gereksinimlere uyum saglamak icin birden fazla kimlik dogrulama yontemini destekler.
E-posta ve parola
Varsayilan kimlik dogrulama yontemidir. Kullanicilar bir e-posta adresi ve guclu bir parola ile kayit olur. Parolalar saklanmadan once modern, hesaplama acisindan yogun bir algoritma kullanilarak hashlenir. SetGet parolalari asla duz metin olarak saklamaz.
Parola gereksinimleri:
| Gereksinim | Detay |
|---|---|
| Minimum uzunluk | 8 karakter |
| Karmasiklik | Buyuk harf, kucuk harf ve bir sayi veya ozel karakter icermelidir |
| Tekrar kullanim engeli | Son 5 parola yeniden kullanilamaz |
| Kaba kuvvet korumasi | Tekrarlanan basarisiz girisimlerde hesap kilitleme |
Sihirli baglanti ile kimlik dogrulama
Kullanicilar parola kullanmadan, e-postaya gonderilen tek kullanimlik bir dogrulama kodu ile giris yapabilir. Kod sureli ve tek kullanimliktir. Bu yontem, parola yonetmeyi tercih etmeyen kullanicilar icin kullanislidir.
OAuth saglayicilari
SetGet, OAuth 2.0 saglayicilari araciligiyla ucuncu taraf kimlik dogrulamasini destekler:
- Google — Google hesabi ile giris
- GitHub — GitHub hesabi ile giris
- GitLab — GitLab hesabi ile giris
- Gitea — Gitea hesabi ile giris
Her saglayici, bir calisma alani veya sunucu yoneticisi tarafindan yapilandirilmalidir. Kurulum talimatlari icin OAuth Saglayicilari sayfasina bakin.
Tek Oturum Acma (SSO)
Kurumsal ekipler, kullanicilari kurumsal kimlik saglayicilari (IdP) araciligiyla dogrulamak icin SAML tabanli SSO yapilandirabilir. SSO, kimlik dogrulama yonetimini merkezilestirer ve izin verilen tek giris yontemi olarak zorunlu kilinabilir. Yapilandirma detaylari icin SSO sayfasina bakin.
Cok Faktorlu Kimlik Dogrulama (MFA)
MFA, parola dogrulamasindan sonra ikinci bir dogrulama adimi ekler. SetGet, Google Authenticator, Authy veya 1Password gibi kimlik dogrulama uygulamalarini kullanarak TOTP (Zaman Tabanli Tek Kullanimlik Parola) destekler. Calisma alani yoneticileri tum uyeler icin MFA'yi zorunlu kilabilir. Kurulum ve zorunluluk icin MFA sayfasina bakin.
Yetkilendirme
Yetkilendirme, kimlik dogrulanmis bir kullanicinin ne yapmasina izin verildigini belirler. SetGet, birden fazla duzeyde roller iceren rol tabanli erisim kontrolu (RBAC) sistemi kullanir.
Calisma alani rolleri
| Rol | Aciklama |
|---|---|
| Sahip | Calisma alani uzerinde tam kontrol: faturalama, ayarlar, uye yonetimi, tum projeler |
| Yonetici | Calisma alani ayarlarini, uyeleri ve tum projeleri yonetir; sahiplik transferi veya faturalama yonetimi yapamaz |
| Uye | Atandigi projelere erisir, is ogeleri olusturur, sohbete katilir |
| Misafir | Yalnizca acikca davet edildigi belirli projelere ve kanallara sinirli erisim |
Proje rolleri
Her proje icinde uyeler ek rol tabanli izinlere sahip olabilir:
| Rol | Aciklama |
|---|---|
| Yonetici | Proje uzerinde tam kontrol: ayarlar, durumlar, etiketler, uyeler |
| Uye | Is ogeleri olusturma ve duzenleme, proje tartismalarina katilma |
| Goruntuleyen | Proje is ogeleri ve sayfalarina salt okunur erisim |
Izin kalitimi
- Calisma alani sahipleri ve yoneticileri otomatik olarak tum projelere yonetici erisimi alir.
- Proje duzeyindeki roller yalnizca ilgili proje icinde gecerlidir.
- Misafir kullanicilarinin otomatik erisimi yoktur — her izin acikca verilmelidir.
Tam izin matrisi icin Roller ve Izinler sayfasina bakin.
Veri koruma
Aktarim sirasinda sifreleme
Istemci (tarayici) ile SetGet sunucusu arasindaki tum iletisim TLS (HTTPS) kullanilarak sifrelenir. Bu sunlari icerir:
- Web uygulamasi trafigi
- API istek ve yanitlari
- Gercek zamanli ozellikler icin WebSocket baglantilari
- Dosya yuklemeleri ve indirmeleri
SetGet, HTTPS'yi zorunlu kilar ve uretim ortaminda sifrelenmemis HTTP uzerinden icerik sunmaz.
Duragan halde sifreleme
Veritabaninda ve dosya depolamada saklanan veriler su sekilde korunur:
| Katman | Koruma |
|---|---|
| Veritabani | MongoDB duragan halde sifreleme (altyapi duzeyinde etkinlestirilmisse) |
| Dosya depolama | Saklanan nesneler icin MinIO sunucu tarafi sifreleme |
| Yedekler | Sifreli yedek depolama (altyapiya bagimli) |
| Parolalar | bcrypt ile tek yonlu hashlenir; asla duz metin olarak saklanmaz |
| Tokenlar | Oturum tokenlari kriptografik olarak rastgele ve hashlenmis olarak saklanir |
Veri izolasyonu
Her calisma alaninin verileri mantiksal olarak izole edilir:
- Calisma alani verileri, tum veritabani sorgularinda calisma alani kimligine gore kapsamlanir.
- API araciligiyla calisma alanlari arasi veri sizintisi olmaz.
- Dosya depolama, calisma alani kapsamli yollar ve erisim kontrolleri kullanir.
Oturum yonetimi
SetGet, kimlik dogrulanmis erisimi yonetmek icin token tabanli oturumlar kullanir:
- Basarili kimlik dogrulama uzerine oturumlar olusturulur.
- Her oturum belirli bir cihaz ve IP adresine baglidir.
- Oturumlarin yapilandirabilir bir zaman asimi suresi vardir.
- Kullanicilar aktif oturumlarini goruntuleyebilir ve iptal edebilir.
- Yoneticiler herhangi bir calisma alani uyesi icin oturumlari iptal edebilir.
Oturumlari goruntuleme, iptal etme ve yapilandirma detaylari icin Oturum Yonetimi sayfasina bakin.
Oturum guvenlik ozellikleri
| Ozellik | Aciklama |
|---|---|
| Oturum baglama | Oturumlar kaynak IP ve kullanici ajanlarina baglidir |
| Otomatik sure dolumu | Oturumlar yapilandirabilir bir etkisizlik suresinden sonra sona erer |
| Es zamanli oturum siniri | Yoneticiler kullanici basina maksimum es zamanli oturum sayisi belirleyebilir |
| Iptal | Kullanicilar ve yoneticiler herhangi bir aktif oturumu aninda iptal edebilir |
| Guvenli cerezler | Oturum tokenlari HttpOnly, Secure, SameSite cerezlerinde saklanir |
API guvenligi
SetGet API'si her istekte kimlik dogrulama ve yetkilendirme uygular:
| Koruma | Detay |
|---|---|
| Kimlik dogrulama gerekli | Tum API uc noktalari (genel sayfalar ve kimlik dogrulama rotalari haric) gecerli bir oturum gerektirir |
| Hiz sinirlamasi | API uc noktalari kotuye kullanimlari onlemek icin hiz sinirlidir |
| Girdi dogrulama | Tum girdiler islenmeden once dogrulanir ve temizlenir |
| CORS politikasi | Capraz kaynak istekleri izin verilen kaynaklarla sinirlidir |
| CSRF korumasi | Durum degistiren istekler CSRF tokenlari gerektirir |
Denetim ve uyumluluk
Etkinlik kaydi
SetGet, denetim amaciyla guvenlikle ilgili olaylari kaydeder:
| Olay | Kaydedilen detaylar |
|---|---|
| Kullanici girisi | Zaman damgasi, IP adresi, kimlik dogrulama yontemi |
| Kullanici cikisi | Zaman damgasi |
| Basarisiz giris denemesi | Zaman damgasi, IP adresi, denenen e-posta |
| Parola degisikligi | Zaman damgasi, kullanici |
| MFA etkinlestirme/devre disi birakma | Zaman damgasi, kullanici |
| Oturum iptali | Zaman damgasi, iptal eden, hangi oturum |
| Uye rol degisikligi | Zaman damgasi, degistiren, eski rol, yeni rol |
| Calisma alani ayar degisikligi | Zaman damgasi, degistiren, hangi ayar |
Veri disa aktarimi
Kullanicilar kisisel verilerinin bir kopyasini talep edebilir, bunlar sunlari icerir:
- Profil bilgileri
- Olusturdugu is ogeleri
- Gonderdigi mesajlar
- Yukledigi dosyalar
Bu, GDPR ve benzer veri koruma mevzuati uyumluligunu destekler.
Guvenlik yapilandirma kontrol listesi
Guvenli bir ortam kuran calisma alani yoneticileri icin:
| Adim | Oncelik | Dokumantasyon |
|---|---|---|
| HTTPS'yi etkinlestir | Kritik | Altyapi kurulumu |
| OAuth saglayicilari yapilandir | Yuksek | OAuth Saglayicilari |
| SSO kur | Yuksek (kurumsal) | SSO |
| MFA'yi zorunlu kil | Yuksek | MFA |
| Oturum zaman asimini yapilandir | Orta | Oturum Yonetimi |
| Grup senkronizasyonu kur | Orta | Grup Senkronizasyonu |
| Uye rollerini gozden gecir | Orta | Roller ve Izinler |
| Bildirim tercihlerini yapilandir | Dusuk | Bildirim Tercihleri |
WARNING
Guvenlik, en zayif halkasi kadar gucludur. MFA'yi etkinlestirmek, SSO yapilandirmak ve aktif oturumlari duzenli olarak gozden gecirmek, calisma alaninizi guvenli hale getirmek icin yapabileceginiz en etkili adimlardir.
Ilgili sayfalar
- SSO — SAML tabanli tek oturum acma yapilandirmasi
- Grup Senkronizasyonu — IdP gruplarini calisma alani rolleriyle eslestirme
- MFA — Cok faktorlu kimlik dogrulama kurulumu ve zorunluluk
- Oturum Yonetimi — Aktif oturumlari goruntuleme ve iptal etme
- OAuth Saglayicilari — Ucuncu taraf kimlik dogrulama yapilandirmasi
- Roller ve Izinler — Calisma alani ve proje rol tanimlari
- Calisma Alani Uyeleri — Uye erisimini yonetme