CYBALP
409 KELİME
2 DAKİKA
OAuth
2026-01-30
PROTOKOLLER
OAUTH
/
OPENID_CONNECT
İPUCU

OAuth, “Google ile Giriş Yap” butonunun arkasındaki parolasız yetkilendirme standardıdır.

UYARI

OAuth’u “şifremi üçüncü parti siteye veriyorum” sanma; parola asla uygulamaya gitmez.

MIND MAP#

ÖNEMLİ
  1. OAuth’un amacını netleştir: kimlik doğrulama değil, yetkilendirme.
  2. Bağlı uygulamaları düzenli kontrol et: kullanmadıklarını kaldır / yetkisini iptal et.

PROBLEM#

Merhaba dostum. Her gün “Google ile Giriş Yap” / “Facebook ile Devam Et” butonlarını kullanıyorsun, kullanıyoruz: hızlı, pratik, parola hatırlama derdi yok. Ama kritik soru şu:

Parolam gerçekten paylaşılmadan mı giriş yapıyorum?

Kısa cevap: Evet. Bunu mümkün kılan standart: OAuth.

NE BU OAUTH?#

1. OAuth Ne Sağlar? (Yetkilendirme Mantığı)#

OAuth (Open Authorization), bir uygulamanın senin adına başka bir servisten sadece izin verdiğin verilere erişmesini sağlar.

Bunu şöyle düşün:

  • Arkadaşın postanı alsın istiyorsun.
  • Tüm anahtarlığı vermezsin.
  • Sadece posta kutusu anahtarını verirsin.

OAuth da aynı şeyi yapar:

  • Parolanı paylaşmazsın
  • Gerekli kadar erişim verirsin
  • Yetki sınırlıdır ve geri alınabilir

1.1 Kim Kimdir?#

  • Kaynak Sahibi (Resource Owner): Sen (verinin sahibi)
  • İstemci (Client): Giriş yapmak istediğin uygulama/site
  • Yetkilendirme Sunucusu (Authorization Server): Google / Facebook vb.
flowchart TB U["SEN"] C["İSTEMCİ"] A["YETKİLENDİRME SUNUCUSU"] U --> C C --> A A --> U

1.2 Akış Nasıl İşler? (Token Mantığı)#

  1. Uygulama seni Google’a yönlendirir
  2. Google, hangi izinlerin isteneceğini gösterir
  3. Onay verirsin
  4. Google bir access token üretir
  5. Uygulama token ile sadece izin verdiğin kaynaklara erişir

Kritik nokta: Parolan asla üçüncü parti uygulamaya gitmez.

flowchart TB U["SEN (Kaynak Sahibi)"] C["İSTEMCİ (Uygulama / Site)"] A["YETKİLENDİRME SUNUCUSU (Google)"] R["KAYNAK SUNUCUSU (İzinli Veriler)"] C -->|1. Google'a yönlendirir| A A -->|2. İzin ekranını gösterir| U U -->|3. Onay verir| A A -->|4. Access Token üretir| C C -->|5. Token ile izinli kaynağa erişir| R N["Kritik: Parola uygulamaya gitmez"] N -.-> C

2. OAuth Olmazsa Ne Olur? (Karşı-Örnek / Risk)#

OAuth öncesi “kötü pratik” şuydu: Uygulama senden doğrudan kullanıcı adı + şifre isterdi.

Bunun sonuçları:

  • Şifre uygulamanın sunucusunda saklanırdı
  • Uygulama hacklenirse hesapların tehlikeye girerdi
  • Yetkiyi “kapsam/limit” ile ayırmak zordu

OAuth bu problemi kökten azaltır: şifre yerine token + sınırlı izin.

SONUÇ VE ÇIKARIMLAR#

  • OAuth, kullanım kolaylığı + güvenli yetkilendirme sağlar.
  • Riskin merkezi “OAuth” değil, ana hesabındır: Google hesabın ele geçirilirse bağlı girişlerin de risk altına girer.
  • Bu yüzden OAuth kullanırken en önemli savunma: ana hesap güvenliği.

REFLEKS#

UYARI

Bunu görürsem → şunu düşüneceğim → şunu yapacağım

  • Tetikleyici: “Google ile giriş yap” / “Facebook ile devam et”
  • Düşünce: “Parolam paylaşılmıyor; uygulamaya sınırlı yetki veriyorum.”
  • Aksiyon: Ana hesapta 2FA açık mı kontrol et + bağlı uygulamalar listesinden gereksizleri kaldır.

MINIMUM BİLGİ SETİ#

UYARI

ANA MESAJ

  • OAuth, parolanı paylaşmadan uygulamalara sınırlı erişim vermeni sağlar.

UNUTMA

  • OAuth kimlik doğrulama değil, yetkilendirmedir; erişim token ile ve izinli kapsam kadar olur.
  • Ana hesabın ele geçirilirse bağlı OAuth girişleri de etkilenebilir.

Mind Map

  1. Yetkilendirme (OAuth ne yapar?)
  2. Token (parola yerine erişim anahtarı)
  3. Sınır (izin kapsamı + geri alma)

ÖNERİ Google hesabına gir → Bağlı uygulamalar / üçüncü taraf erişimleri listesini aç → kullanmadıklarının yetkisini kaldır + 2FA’yı kontrol et.

OAuth
/posts/protokoller/oauth/
YAZAR
Alp Ulkegul
YAYIN TARİHİ
2026-01-30
LİSANS
CC BY-NC-SA 4.0

Bazı bilgiler güncel olmayabilir.

İnternette %100 Güvenlik Mümkün mü?
OpenID Connect (OIDC)
Profile Image of the Author
Cyber Alp
Profesyonel olmayan bir blog ve kişisel dokümantasyon sayfası. Lütfen resmi bir dil bekleme dostum, burası LinkedIn değil :)
GitHub
Duyurular
Duyurursam bir gün, şurada kalsın köşesi !
© 2026 Cyber Alp. All Rights Reserved. / RSS / ATOM /

Thank you Astro & Twilight