X-Integration-Key ile istek imzalama
Partner-api iki yüzey sunar: /api/integrations/v1/* (partner) ve /api/internal/* (biHesap-api BFF proxy). Bu sayfa partner key'leri içindir.
Header
İsteklere X-Integration-Key ekleyin
Her partner isteğine aşağıdaki üç header'ı ekleyin. Anahtar prefix'i (biint_live_ veya biint_test_) ortamı belirler. Hash'lenmiş hâli DB'de tutulur, plain değer Redis cache + bcrypt karşılaştırması ile doğrulanır.
X-Integration-Key: biint_live_5f2c4b9e8a1d3f6c0b5e2a8d9c1f4e3b
Content-Type: application/json
Idempotency-Key: 0e1a4b2f-5c33-4d61-aa11-2b3c5d6e7f8aİki yüzey
partner-api iki ayrı API yüzeyi sunar
Bu sayfa partner yüzeyi içindir — yani sizin sisteminiz. /api/internal/* endpoint'leri yalnızca biHesap-api'nin tükettiği yüzeydir; orada X-Integration-Key işe yaramaz.
Partner surface — /api/integrations/v1/*
- Auth
- X-Integration-Key (biint_live_… veya biint_test_…)
- Audience
- POS, gym, e-ticaret, ERP — sizin sisteminiz
- Rate limit
- Var (Redis-backed, fail-open)
Internal surface — /api/internal/*
- Auth
- X-Service-Key (timing-safe shared secret)
- Audience
- Yalnız biHesap-api BFF
- Rate limit
- Yok
Best practice
Güvenli anahtar yönetimi
Anahtarı asla repo'ya basmayın
Production'da yalnızca KEY'i env değişkeninde tutun. CI loglarında ve client-side bundle'da görünmediğinden emin olun.
Rotate önce, sil sonra
Yeni anahtarı admin panelden üretin, deploy edin, sonra eskisini iptal edin. partner-api iki anahtarı paralel kabul eder.
İhlal şüphesinde derhal iptal
Sızıntı şüphesi varsa admin panel → Partner → API Anahtarları üzerinden iptal edin. İptal anlık etkindir (Redis cache de invalide olur).