Login ve Oturum Mimarisi: Güvenlik Perspektifi

Sadece sunucu tarafında, AES-256-GCM ile şifrelenmiş bir session store (tercihen Redis) tutulur. 

Kullanıcı tarafına yalnızca HttpOnly + Secure + SameSite=Strict cookie gönderilir. 

Tüm iletişim HTTPS üzerinden yapılır ve HSTS (HTTP Strict Transport Security) aktif olmalıdır. 

Session şifreleme anahtarları, KMS (Key Management Service) veya HSM (Hardware Security Module) üzerinden yönetilmelidir. Anahtarlar periyodik olarak rotasyona tabi tutulmalıdır. 

Access Token: 24 saat geçerlidir (idle-based timeout). 

Refresh Token: 7 gün geçerlidir. Her yenilemede rotasyon uygulanır. 

Eski refresh token anında geçersiz kılınır (token reuse engellenir). 

Token süresi %80’e ulaştığında, arka planda güvenli yenileme isteği gönderilir. 

Bu yenileme isteği mutlaka: 

Session doğrulaması yapmalı. 

Replay saldırılarını önlemek için nonce veya jti kontrolü içermelidir. 

Yeni cihaz, şüpheli IP, yüksek yetkili hesap veya olağandışı davranış tespitinde zorunludur. 

Risk temelli bir sistem tarafından tetiklenir. 

OTP doğrulanmadan token oluşturulmaz. 

Ek güvenlik önlemleri: 

OTP deneme limiti (örneğin 5 hatalı girişte hesap kilidi) 

OTP gönderim aralığı (örneğin 30 saniyede bir) 

OTP log’larında masking (örneğin ****1234) 

Kullanıcının session’ı Redis’ten silinir. 

Token, revocation list veya blocklist içine eklenir. 

Cookie temizlenir. 

Bu işlem loglanır: IP, kullanıcı ID, zaman bilgisiyle. 

Her session, cihaz fingerprint’i (IP, User Agent, platform) ile ilişkilendirilir. 

IP veya cihaz değişirse oturum sonlandırılır. 

Session şifrelemesi AES-GCM ile yapılmalı; IV + salt kombinasyonu kullanılmalıdır. 

Redis session anahtarları rastgele UUID (örneğin session:{uuidv4()}) şeklinde tutulmalıdır. 

JWT, RS256 (asimetrik anahtar) ile imzalanır. 

Alanlar: iss, sub, aud, exp, iat, jti 

Refresh token’lar: 

Benzersiz jti içerir. 

fingerprint (IP, cihaz bilgisi) ile eşleştirilir. 

Revocation list ile sürekli kontrol edilir. 

Gereksiz claim’ler kaldırılmalı → JWT payload’ı minimal tutulmalı. 

SameSite=Strict cookie policy. 

Tüm state-changing isteklerde CSRF token zorunluluğu. 

CSRF token çerez ile değil, DOM’a gömülü hidden input olarak iletilmeli. 

Origin ve Referer header kontrolü aktif olmalı. 

Rate limiting (örneğin IP başına 10 istek / dakika) 

Brute force koruması (örneğin 5 hatalı girişte lockout) 

CORS yapılandırması: Access-Control-Allow-Origin asla * olmamalı eğer Allow-Credentials=true ise. 

XSS: UI tarafından token erişim testi. 

CSRF: CSRF token’sız istek testi. 

Refresh Reuse: Eski refresh token ile yenileme denemesi. 

Session Fixation: Aynı session ID farklı IP testleri. 

OTP: Şüpheli IP senaryosunda OTP isteği kontrolü. 

TTL Testleri: Redis session otomatik siliniyor mu? 

Cookie Güvenliği: HttpOnly, Secure, SameSite flag’leri aktif mi? 

Session ID ve token’lar kişisel veri sayılabilir → AES şifreleme zorunludur. 

Loglar IP, zaman ve kullanıcı ID içerir; ancak anonim hale getirilmelidir. 

Çerez politikalarında amaç, saklama süresi ve kullanım açıklanmalıdır. 

Kullanıcı, talep ettiğinde tüm session verileri silinebilmelidir. 

Her login, refresh, logout olayı loglanmalıdır. 

Log formatı: {user_id, ip, user_agent, event_type, timestamp} 

PII veriler maskeleme uygulanarak saklanmalıdır. 

Log’lar WORM (Write Once Read Many) yapısında arşivlenmeli. 

SIEM (Security Information and Event Management) entegrasyonu önerilir.