CYBALP
351 KELİME
2 DAKİKA
OpenID Connect (OIDC)
2026-01-30
PROTOKOLLER
OPENID_CONNECT
/
OAUTH
İPUCU

“Google ile Giriş Yap” çoğu zaman tek protokol değil; OAuth + OpenID Connect birlikte çalışır.

UYARI

OAuth ile kullanıcı kimliği doğrulanabileceğini sanma. Access Token = kimlik değildir.

MIND MAP#

ÖNEMLİ
  1. OAuth ve OIDC ayrımını netleştir (yetki vs kimlik).
  2. Token’ları ayır: ID Token (kimlik) / Access Token (erişim).
  3. Login akışında OIDC’nin varlığını kontrol et ve uygula.

PROBLEM#

“Google ile Giriş Yap” butonları hızlı ve pratik. Ama arka planda kritik bir soru var:

Bu yetkiyi kullanan kişi kim?
OAuth, bir uygulamaya senin adına belirli işlemleri yapma yetkisi verir; fakat kimlik doğrulama problemi tek başına burada çözülmez.

OIDC VE OAUTH ARASINDAKİ FARK#

1. OAuth vs OIDC: Yetki mi, Kimlik mi?#

OAuth’un amacı yetkilendirmedir:

  • OAuth 2.0 → “Bu uygulamaya şu kaynaklara erişim izni veriyorum.”
  • OpenID Connect (OIDC) → “Ben buyum (kimliğim doğrulandı).”

OAuth “anahtar” verir ama “anahtarın sahibi kim” sorusunu tek başına cevaplamaz.

1.1 Token’lar: ID Token ve Access Token#

OIDC, OAuth 2.0 üzerine eklenir ve temel çıktısı ID Token’dır. ID Token çoğunlukla JWT formatında, doğrulanabilir kimlik bilgisidir.

  • ID Token → Kullanıcının kim olduğunu kanıtlar (kimlik iddiası taşır).
  • Access Token → Bir kaynağa erişim izni verir (kimlik doğrulama için tasarlanmaz).

Kritik kural: Access Token’ı “login olmuş kullanıcı” kanıtı gibi kullanma.

2. Modern Login Neden İkisini Birlikte Kullanır?#

Gerçek hayattaki tipik “Google ile Giriş Yap” akışı:

  • Önce Google senin kim olduğunu doğrular → OIDC
  • Sonra uygulamaya hangi verilere izin verdiğini sorar → OAuth
  • Uygulamaya hem kimlik (ID Token) hem yetki (Access Token) gider

Bu yüzden modern SSO / sosyal giriş sistemlerinde OAuth + OIDC birlikte çalışır; biri olmadan diğeri eksik kalır.

OLAY SONUCU VE ÇIKARIMLAR#

  • OAuth yetkilendirir, OIDC kimliği doğrular; login için OIDC gerekir.
  • ID Token kimlik içindir; Access Token erişim içindir. Rolleri karıştırırsan güvenlik açığı üretirsin.
  • “Google/Facebook ile giriş” senaryoları pratikte bu iki protokolün birlikte çalışmasıyla güvenli olur.

REFLEKS#

UYARI

“Bunu görürsem → şunu düşüneceğim → şunu yapacağım”

  • Tetikleyici: “OAuth ile login yapıyoruz.”
  • Düşünce: “OAuth kimlik doğrulamaz; OIDC yoksa kimliği yanlış yerde arıyoruz.”
  • Aksiyon: “Akışta OIDC (authorize scope=openid + ID Token) var mı kontrol et; yoksa OIDC ekle.”

MINIMUM BİLGİ SETİ#

UYARI

  • ANA MESAJ

  • OAuth yetkilendirir, OIDC kimliği doğrular; modern giriş sistemleri ikisini birlikte kullanır.

  • UNUTMA

  • Access Token kimlik kanıtı değildir. Kimlik için ID Token / OIDC gerekir.

  • Mind Map

  1. OAuth → Yetkilendirme (izin)
  2. OIDC → Kimlik doğrulama (ID Token)
  3. Token ayrımı → ID Token (kimlik) / Access Token (erişim)
  • ÖNERİ Giriş (login) tasarlıyorsan “OAuth yeter” deme: OIDC’yi ekle ve token’ları doğru amaçla kullan.
OpenID Connect (OIDC)
/posts/protokoller/openid-connect/
YAZAR
ALP ULKEGUL
YAYIN TARİHİ
2026-01-30
LİSANS
CC BY-NC-SA 4.0

Bazı bilgiler güncel olmayabilir.

OAuth
Profile Image of the Author
Cyber Alp
Profesyonel olmayan bir blog ve kişisel dokümantasyon sayfası. Lütfen resmi bir dil bekleme dostum, burası LinkedIn değil :)
GitHub
Duyurular
Duyurursam bir gün, şurada kalsın köşesi !
© 2026 Cyber Alp. All Rights Reserved. / RSS / ATOM /

Thank you Astro & Twilight