Kimlik Doğrulama
Public read entegrasyonları x-api-key header’ı ile çalışır. Webhook yönetimi
gibi admin işlemleri JWT session, role guard ve settings permission zinciriyle
korunur.
API Key
- Müşteri uygulamasında
/settings/apisayfasını aç. - Entegrasyon için sadece gereken permission setini seç.
- Secret değerini tek seferlik gösterimden sonra secret manager’a taşı.
- Key’i rotate/revoke etmek için aynı API key yönetim ekranını kullan.
Üretilen anahtarlar mr_live_ önekiyle başlar; aşağıdaki örneklerde anahtar
değeri ortam değişkeninden okunur, dokümana hiçbir gerçek değer yazılmaz.
curl -s "https://api.mevzuatradar.com/api/v1/changes" \
-H "x-api-key: $MEVZUATRADAR_API_KEY"JWT Session
/api/v1/webhooks yönetim endpointleri browser admin session’ından gelen JWT
ile çağrılır. Bu endpointler public API key kabul etmez.
Authorization: Bearer <admin-session-jwt>Permission Kataloğu
| Permission | Kapsam | Enterprise-only |
|---|---|---|
regulations:read | Mevzuat değişiklik okuma | Hayır |
actions:read | Aksiyon ve deadline okuma | Hayır |
verification:read | Doğrulama raporu okuma | Evet |
reports:read | Kurul raporu okuma | Evet |
evidence-packs:read | Kanıt paketi okuma | Evet |
settings:read | Webhook subscription görüntüleme | Plan/role bağlı |
settings:write | Webhook create/update/test/rotate | Plan/role bağlı |
Rotation Policy
API key ve webhook secret örnekleri her zaman fake olmalıdır. Production secret’ları dokümana, repository’ye, issue’ya veya log’a yazılmaz. Webhook secret rotation sonrası önceki secret kısa grace window içinde doğrulama için tutulur; yeni receiver rollout tamamlanınca eski secret otomatik temizlenir.