API anahtarı tek bir gizli dizedir. Git taahhüdü, günlük dosyası veya güvenliği ihlal edilmiş bir sunucu yoluyla sızdırılırsa, CAPTCHA çözme bakiyenizi herkes tüketebilir. API'ler için çok faktörlü kimlik doğrulama, tek bir uzlaşmanın tam erişim vermemesi için birden fazla bağımsız kontrolün katmanlanması anlamına gelir.
Tek Faktörlü API Anahtarları Neden Yetersiz?
Bağımsız bir API anahtarının tek bir görevi vardır: arayanı tanımlamak ve yetkilendirmek. Bu tek bir başarısızlık noktası yaratır:
| Sızıntı vektörü | Yalnızca Anahtarla Etki | Çok Faktörlü Etki |
|---|---|---|
| GitHub'a taahhüt edilen anahtar | Tam denge tahliyesi | Engellendi — IP beyaz listeyle eşleşmiyor |
| Geliştiricinin dizüstü bilgisayarı çalındı | İzinsiz kullanım | Engellendi — anahtar diskte değil, Apps Kasası'nda |
| Günlük dosyası anahtarı açığa çıkarıyor | Sessiz kötüye kullanım | Algılandı — bütçe uyarısı tetikleniyor |
| İçeriden tehdit | Sınırsız erişim | Sınırlı — anahtar başına harcama sınırları |
Kimlik Doğrulama Katmanları
CAPTCHA API erişimi için derinlemesine savunma dört bağımsız faktörü birleştirir:
Katman 1: API Anahtarı (Bildiğiniz Bir Şey)
Temel. CaptchaAI'ye yapılan her istek API anahtarınızı gerektirir:
https://ocr.captchaai.com/in.php?key=YOUR_API_KEY&method=userrecaptcha&...
Güçlendirici önlemler:
- Anahtarları asla kaynak kodunda saklamayın
- Ortam değişkenlerini veya gizli dizi yöneticilerini kullanın
- Geliştirme, aşamalandırma ve üretim için farklı anahtarlar
- Anahtarları düzenli bir programda döndürün
Katman 2: Ağ Kimliği (Olduğunuz Bir Yerde)
IP beyaz listesi, hangi sunucuların API anahtarınızı kullanabileceğini kısıtlar. Geçerli bir anahtar olsa bile yetkisiz IP'lerden gelen istekler reddedilir.
CaptchaAI ile nasıl çalışır:
- CaptchaAI kontrol panelinizde izin verilen IP adreslerini yapılandırın
- Yalnızca beyaz listeye alınmış IP'lerden gelen istekler kabul edilir
- Dinamik ortamlar için VPN veya statik çıkış IP'leriyle birleştirin
Değişimler:
| Çevre | IP Beyaz Listeye Alma Fizibilitesi |
|---|---|
| Özel sunucular | Kolay — statik IP'ler |
| Bulut VM'leri | Orta — elastik IP'ler kullanın |
| Sunucusuz (Lambda) | Zor — Statik çıkış için NAT ağ geçidini kullanın |
| Geliştirici dizüstü bilgisayarları | Kullanışlı değil — ayrı geliştirme anahtarları kullanın |
3. Katman: Harcama Kontrolleri (Nelere İzin Verilir)
Kimlik doğrulamanın atlanması durumunda bütçe sınırları toplam hasarın üst sınırıdır:
- Günlük harcama sınırları — 24 saat başına maksimum dolar
- İstek başına hız sınırları — Dakika başına maksimum çözüm sayısı
- Bakiye uyarıları — Kullanım eşiklerindeki bildirimler
- Otomatik duraklatma — Bütçeye ulaşıldığında çözümü durdurma
Bu kontroller yetkisiz erişimi engellemez ancak patlama yarıçapını sınırlar.
Katman 4: Geçici Kontroller (Ne Zaman Harekete Geçebilirsiniz)
Zamana dayalı kısıtlamalar başka bir boyut katıyor:
- Anahtar rotasyon programları — Her 30-90 günde bir yeni anahtarlar
- Kısa ömürlü belirteçler — Bir ana anahtardan geçici kimlik bilgileri oluşturun
- Günün saati kısıtlamaları — İş yükünüz yalnızca 9-5 arası çalışıyorsa gece isteklerini engelleyin
- Otomatik anahtar geçerlilik süresi — Belirli bir süre sonunda kendi kendini imha eden anahtarlar
Katmanları Birleştirmek: Savunma Matrisi
| Senaryo | Anahtar Geçerli | IP Beyaz Listeye Alındı | Bütçe İçinde | Zaman Penceresi | Sonuç |
|---|---|---|---|---|---|
| Normal çalışma | ✅ | ✅ | ✅ | ✅ | İzin verildi |
| GitHub'da anahtar sızdırıldı | ✅ | ❌ | ✅ | ✅ | Engellendi |
| Sunucunun güvenliği ihlal edildi | ✅ | ✅ | ❌ (büyük harf vuruşu) | ✅ | Sınırlı |
| Yedeklemeden eski anahtar | ❌ (döndürülmüş) | ✅ | ✅ | ✅ | Engellendi |
| Mesai sonrası istismar | ✅ | ✅ | ✅ | ❌ | Engellendi |
Hiçbir katman mükemmel değildir. Bir araya geldiklerinde yetkisiz erişimi giderek daha da zorlaştırıyorlar.
Uygulama Mimarisi
CaptchaAI için pratik çok faktörlü kurulum:
[Application] → [Secrets Manager] → Get API key
↓
[Rate Limiter] → Check budget/rate limits
↓
[Static Egress IP] → NAT gateway / proxy
↓
[CaptchaAI API] → IP whitelist check → Process request
↓
[Audit Logger] → Record request, response, timing
Bileşenler:
| Bileşen | Amaç | Araçlar |
|---|---|---|
| Sırlar Yöneticisi | API anahtarlarını saklayın ve döndürün | HashiCorp Vault, AWS Gizli Bilgileri Yöneticisi |
| Hız Sınırlayıcı | Harcama /rate bütçelerini zorunlu kılın | Redis, süreç içi token paketi |
| Statik Çıkış | Beyaz listeye alma için tutarlı kaynak IP'si | NAT ağ geçidi, proxy sunucusu |
| Denetim Kaydedici | Tüm çözüm aktivitelerini kaydedin | JSONL dosyaları, ELK Yığını |
Kesinti Olmadan Anahtar Döndürme
Çok faktörlü API güvenliğinin en zor kısmı, üretimi kesintiye uğratmadan anahtarları döndürmektir:
- CaptchaAI kontrol panelinde yeni anahtar oluşturun
- Gizli dizi yöneticisini yeni anahtarla güncelleyin
- Aşamalı olarak dağıtın — uygulamalar bir sonraki gizli getirme işleminde yeni anahtarı alır
- Monitör — yeni anahtarla çözümlerin başarılı olduğunu doğrulayın
- Tüm uygulamalar taşındıktan sonra eski anahtarı iptal edin (24-48 saat bekleyin)
Kritik nokta: geçiş penceresi boyunca hem eski hem de yeni tuşların aynı anda çalışması gerekir.
Rotasyon sözleşmesi
- Çalışanların kullanıma sunulması ve geri alınmasının güvende kalması için eski ve yeni kimlik bilgilerinin yeterince uzun süre çakışmasına izin verin.
- Hangi kimlik doğrulama faktörünün başarısız olduğunu kaydedin, böylece operatörler gizli rotasyon hatalarını hedef tarafındaki reddetmeden ayırt edebilir.
- Döndürülmüş kimlik bilgilerini her bölgeye ve kuyruk tüketicisine tanıtmadan önce sınırlı bir yolda test edin.
Sorun giderme
| Sorun | Sebep | Düzeltme |
|---|---|---|
Döndürmeden sonra ERROR_WRONG_USER_KEY |
Uygulama hala eski anahtarı kullanıyor | Sır yöneticisi sürümünü kontrol edin; uygulamayı yeniden başlat |
ERROR_IP_NOT_ALLOWED yeni ortamda |
Sunucu IP'si beyaz listeye alınmadı | CaptchaAI kontrol paneline yeni IP ekleyin; yayılmayı bekle |
| Beklenmedik şekilde etkinleşen bütçe uyarıları | Meşru trafik artışı veya sızıntısı | Olağandışı kalıplar için denetim günlüklerini kontrol edin; şüpheliyse anahtarı döndür |
| Hız sınırlayıcı geçerli istekleri engelliyor | Sınırlar iş yükü için çok düşük ayarlanmış | Limitleri kademeli olarak artırın; gerçek kullanım modellerini izleyin |
SSS
Kaç tane kimlik doğrulama katmanı uygulamalıyım?
En az iki: sır yönetimi (Katman 1) ve bütçe kontrolleri (Katman 3). Altyapınız statik IP'leri destekliyorsa IP beyaz listesine ekleme (Katman 2) ekleyin. Geçici kontroller (Katman 4) yüksek güvenlikli ortamlar içindir.
Çok faktörlü kimlik doğrulama CAPTCHA çözümünü yavaşlatır mı?
Genel gider ihmal edilebilir düzeydedir. Gizli dizi yöneticisi araması 1-5 ms ekler (önbelleğe alınır). Proses içi hız sınırlayıcı mikrosaniye ekler. IP beyaz listesi, istemci ek yükü olmadan sunucu tarafında kontrol edilir.
Uygulama başına farklı API anahtarları mı kullanmalıyım?
Evet. Uygulama başına (veya ortam başına) ayrı anahtarlar izolasyon sağlar; bir sistemdeki bir güvenlik ihlali diğerlerini etkilemez ve her şeyi bozmadan tek bir anahtarı iptal edebilirsiniz.
İlgili Makaleler
Sonraki Adımlar
CAPTCHA çözme iş akışınızı güvence altına alın —CaptchaAI API anahtarınızı alınve ilk günden itibaren derinlemesine savunmayı uygulayın.
İlgili kılavuzlar:
