OAuth / oturum çerezi / bearer tehdit modeli

Tehdit modeli: XSS ve çerezin rolü

`localStorage`/`sessionStorage` içindeki bearer token XSS ile birlikte neredeyse doğrudan sızar. HttpOnly + Secure + SameSite çerezi erişimi JavaScript’ten kopararak XSS sonrası sızıntı yüzünü daraltır; karşılığında CSRF’ye karşı token eşleri, doğru SameSite seçimi veya çift gönderilen çerez (double submit) gibi politikalar gerekebilir. “Hangisi daha tehlikeli?” sorusu yerine yüzey alanınızı sayın.

OAuth akışında PKCE ve yönlendirmeler

Halka açık istemcilerde (özellikle mobil ve SPA) yetkilendirme kodu akışına PKCE eşlik etmelidir; statik gizli anahtarların istemci ikilisinde gömülü kalması hatadır. Yönlendirme URI allow-list’leri gevşek bırakılırsa phishing yüzeyi açılır.

Yenileme (refresh), iptal ve denetim

• Refresh döngüsü token çalınması için ikinci şans penceresi açar — süreleri kısaltın, rotasyonu ve anormallik loglamayı düşünün.
• Oturum iptali ve güvenlik olayları için denetlenebilir denetim izi (audit log) gereksinimini baştan yazın.
• BFF katmanında çerezi yoğunlaştıran mimarilerde API’yi tarayıcıdan tamamen çıkarma fikrini değerlendirin.