OAuth2 Authentication

Yakında — Faz 5

Public API erişimi şu an Erken Erişim müşterilerine kapalıdır. Faz 5 lansmanıyla (~Q3 2026) OAuth2 akışı genel kullanıma açılacak.

Genel akış

PratikYedek Public API OAuth2 Authorization Code Grant + PKCE kullanır. Akış:

1. Geliştirici PratikYedek Developer Portal'da uygulama kaydı yapar → client_id alır
2. Kullanıcıyı /oauth2/authorize?client_id=...&scope=...&redirect_uri=...&code_challenge=... adresine yönlendirir
3. Kullanıcı izinleri onaylar → code ile geri döner
4. Uygulama code + code_verifier ile /oauth2/token çağırır → access_token + refresh_token
5. Access token API çağrılarında Authorization: Bearer <token> header'ında

Scope'lar (planlanan)

• snapshots:read — Kullanıcı snapshot listesini okuma
• snapshots:create — Yeni snapshot başlatma
• snapshots:restore — Restore tetikleme
• account:read — Hesap profili okuma
• audit:read — Audit log okuma (Kurumsal paket)

Token TTL

• access_token: 1 saat
• refresh_token: 30 gün (rotation)

KVKK uyumu

• Kullanıcı izin verdiği scope dışında veri erişilmez
• İzin geri çekme → token revoke
• Audit log her API çağrısını kaydeder

Detay belgesi Faz 5'te /api/oauth2-spec adresinde yayınlanacak.