enessvg Selam sadece merak ediyorum auth olarak nasıl bir yapı en güvenilirdir? API ile backend frontend ayrı şekilde? Önerdiğiniz video vs. var mı?
mgsmus enessvg API ile backend frontend ayrı şekilde olması ile ikisinin bir olması (yani session auth kullandığınız durum) güvenlik açısından pek bir fark yaratmaz. Burada güvenlik sizin auth akışını nasıl ele aldığınızla alakalı. Kesinlikle şifreleri bir yerde (db, localStorage, cookie vs) tutmayacaksınız. Veri tabanına kaydederken bcrypt ile şifreleyip kaydedeceksiniz, kesinlikle md5, sha1 vs kullanmayacaksınız. https://laravel.com/docs/11.x/hashing Uygulamanız mutlaka SSL ile çalışacak, tüm linkler https ile başlayacak. Email doğrulama olacak ama bu aşılabilir, o yüzden mümkünse SMS ile cep telefonu doğrulama da ekleyin (mümkünse) Eğer token auth kullanıyorsanız, yani Sanctum ya da Passport, tokenı localStorage'de tutmayın, http-only cookie kullanın. Sanctum ve axios kullanıyorsanız bunu kendi hallediyor. fetch kullanıyorsanız credentials: "include" ekleyeceksiniz. EnsureFrontendRequestsAreStateful middleware aracalığıyla token içeren http-only cookie oluşmuş olacak ve credentials: "include" ile fetch isteği sırasında bu cookie sunucuya gönderilen isteğe eklenecek, gerisini Sanctum halledecek. Passport kullanıyorsanız cookie kısmını kendiniz halledeceksiniz. https://laravel.com/docs/11.x/fortify kullanabilirsiniz. İçindeki Two Factor Authentication özelliği ile uygulamaya giriş sırasında bir Authenticator app kullanılmasını sağlayabilirsiniz. Bu iyi bir güvenlik önlemi. Eğer cep no uygulamanızda mecburi ise OTP ile giriş de iyi bir güvenlik önlemi.