Güvenlik Notları

Passkey Güvenliği

FIDO2/WebAuthn

En güvenli kimlik doğrulama standartları

Biometrik

Parmak izi, yüz tanıma, PIN desteği

Replay Protection

Aynı credential tek kullanımlık

Credential Hashing

Credential ID hash'lenerek saklanır

Token Güvenliği

Kısa Süreli Tokenlar

Access token: 2 saat, Refresh token: 4 saat

JWT Formatı

HS256 algoritması ile imzalı JWT token'lar

Webhook Güvenliği

HMAC-SHA256 İmza

Tüm webhook istekleri HMAC-SHA256 ile imzalanır

API Key/Secret

Her tenant için unique secret

Timestamp

5 dakikalık clock skew tolerance

Retry Mekanizması

3 deneme, exponential backoff