Authentication: API Key, OAuth Senaryoları
Actions için kimlik doğrulama: ne zaman API Key, ne zaman OAuth? Güvenlik notları.
Şükrü Yusuf KAYA
8 dakikalık okuma
İleri
API Key vs OAuth — basit karar tablosu#
| Senaryo | Önerilen |
|---|---|
| Tek bir API key, kullanıcı bilmemeli | API Key (Action-level) |
| Her kullanıcı kendi hesabıyla giriş yapsın | OAuth |
| Kullanıcının verisi korunmalı (private) | OAuth |
| Public API, key bile yok | None |
| Webhook callback ile asenkron | None + signed payload |
🔐 Güvenlik kritik notlar
(1) API Key Action seviyesinde — kullanıcılar göremez ama GPT yayıncısı tüm kullanıcılara aynı key'i kullandırır. Sınırlı kapsamlı key kullan. (2) OAuth scope minimum — 'read' yeter ise 'admin' isteme. (3) Test environment — production key Action'a koyma; ayrı test key kullan, sonra promote et. (4) Rate limit — API tarafında zorunlu (10K user × 100 istek = patlar).
text
OAuth flow — Custom GPT'de kullanıcı tarafı: 1. Kullanıcı GPT ile sohbet eder, bir aksiyon tetiklenir2. GPT: "Bu işlem için Notion hesabınla giriş yapmalısın"3. Kullanıcı butona tıklar → Notion auth sayfası4. Kullanıcı izin verir → token GPT'ye döner5. GPT bundan sonra kullanıcı adına Notion API çağırır Token saklama: kullanıcı bazlı, OpenAI tarafında şifreli depolanır. Kullanıcı GPT'yi silerse token revoke edilir.OAuth flow — kullanıcı deneyimi.
Özet#
✓ API Key: shared, basit
✓ OAuth: per-user, gizlilik için zorunlu
✓ Scope minimum + rate limit + test env
Sıradaki ders: GPT Store yayını ve para kazanma.
Yorumlar & Soru-Cevap
(0)Yorum yazmak için giriş yap.
Yorumlar yükleniyor...
İlgili İçerikler
Modül 1: Başlangıç ve Temeller
ChatGPT Nedir? Tarihçe, Evrim ve Bugünün Manzarası
Öğrenmeye BaşlaModül 1: Başlangıç ve Temeller
Hesap Açma ve Plan Karşılaştırması: Free, Plus, Pro, Team, Enterprise
Öğrenmeye BaşlaModül 1: Başlangıç ve Temeller