--- title: Guard category: product entity_type: skill price: ₺369 canonical: https://forgehouse.ai/tr/skiller/guard/ lang: tr hreflang_alt: https://forgehouse.ai/skills/guard/ last_updated: 2026-06-20 --- # Guard > Security hardening and authentication patterns for authorization, OWASP compliance… Kimlik doğrulama, yetkilendirme ve girdi doğrulamayı katmanlı bir derinlemesine savunma yığınına dizen, modern web uygulamaları için bir güvenlik sağlamlaştırma kılavuzu. NextAuth v5 kurulumu, kaynak sahipliği kontrolleri, rol tabanlı erişim denetimi, Zod doğrulama, güvenlik başlıkları ve OWASP İlk 10 önlemini kapsar: tümü güvenli tarafa düşme, en az yetki ve sıfır güven ilkeleri üzerine kurulu, böylece tek bir kırık katman tüm sistemi asla açığa çıkarmaz. ## Ne için kullanılır - Kimlik bilgisi, GitHub ve Google sağlayıcılarıyla kimlik doğrulama kurma - Her erişimden önce kaynak sahipliği kontrollerini zorunlu kılma - İzin kapılarıyla rol tabanlı erişim denetimi uygulama - Tüm girdiyi Zod şemalarıyla doğrulama ve temizleme - HSTS, çerçeve seçenekleri ve diğer güvenlik başlıklarını yapılandırma - OWASP İlk 10 riskini önleme: enjeksiyon, XSS, CSRF ve veri ifşası ## Faydalar - Yalnızca kimlik doğrulamayı değil sahipliği de doğrulayarak yetki yükseltmeyi durdurun - 404-değil-403 ve genel hata mesajlarıyla hesap varlığını sızdırmaktan kaçının - Sırları koddan, hassas alanları yanıtlardan uzak tutun - Parametreli sorgular ve köken kontrolleriyle enjeksiyon, XSS ve CSRF'yi engelleyin ## Ne içerir - NextAuth v5 yapılandırması, rota işleyicileri ve korunan rota ara katmanı - Kaynak sahipliği ve rol tabanlı erişim izin yardımcı desenleri - Kullanıcı, içerik temizleme, kimlik ve sayfalama için Zod şemaları - HSTS, X-Frame-Options ve Permissions-Policy içeren güvenlik başlığı seti - Enjeksiyon, kimlik doğrulama, XSS ve CSRF için OWASP İlk 10 önleme parçacıkları - Çözümleriyle birlikte güvenlik kontrol listesi ve kırmızı bayrak tablosu ## Kimler için Kimlik doğrulama, yetkilendirme, doğrulama ve OWASP savunmalarını kapsayan somut, katmanlı bir güvenlik temeli isteyen Next.js uygulamalarını güvenli kılan tam yığın geliştiriciler için. ## Nasıl çalışır Skill'in bir Next.js uygulaması üzerinde koştuğu sertleştirme turu, kara kutu yok, yaptığı iş tam olarak bu: 1. NextAuth v5 doğru kurulur: OAuth sağlayıcılar artı authorize fonksiyonu Zod ile girdi doğrulayıp bcrypt hash'e (cost 12) karşı karşılaştıran Credentials sağlayıcısı, JWT session stratejisi ve oturumsuz kullanıcıyı korumalı path'lerden yönlendiren middleware. 2. Yetkilendirme kimlik doğrulamanın üstüne katmanlanır: her kaynak erişimi sahiplik kontrolü yapar ve 403 yerine 404 döner ki kaynağın varlığı asla ifşa olmasın; RBAC izin tablosu (user/moderator/admin) yazma ve yönetim işlemlerini kapılar. 3. Tüm girdi sınırda Zod safeParse ile doğrulanır: kullanıcı, ID (UUID), sayfalama ve HTML temizleme şemaları; istemcinin yazdığı hiçbir şey kontrolsüz iş mantığına ulaşmaz. 4. Güvenlik header seti next.config'e kurulur: preload'lu HSTS, X-Frame-Options, nosniff, referrer politikası ve kamera, mikrofon, konumu kilitleyen permissions policy. 5. OWASP Top 10 somut düzeltmelerle taranır: yalnızca parametreli sorgu, string ile kurulmuş SQL yok; her dangerouslySetInnerHTML öncesi DOMPurify; CSRF için POST route'larda origin doğrulaması; hashedPassword gibi hassas alanlar asla response'a select edilmez. 6. İş 13 maddelik checklist ve red flag taramasıyla kapanır: eksik await auth() çağrıları, response içinde parola, hardcoded secret, iç bilgi sızdıran hata mesajları ve rate limiter'sız login endpoint'leri. ## Sık sorulanlar ### Bu rehberin ne kadarı NextAuth v5 ile Next.js ara katmanına dayanıyor, ne kadarını başka bir yığına taşıyabilirim? Örnekler NextAuth v5, rota işleyicileri ve Next.js ara katmanı üzerine kurulu; en doğrudan değeri Next.js projeleri alır. Zod doğrulama, güvenlik başlıkları ve OWASP ilkeleri başka yığınlara taşınır, ama kodu uyarlamak size düşer. ### Login zaten var; yetki yükseltmeyi bunun ötesinde nasıl durduruyor? Kimlik doğrulama tek başına yetkilendirme değildir. Desenler her erişimden önce kaynak sahipliğini doğrular ve rol tabanlı izin kapıları ekler; 404-değil-403 yaklaşımı ise hesabın varlığını bile sızdırmaz. ### Bunların hepsini kurarsam sızma testini atlayabilir miyim? Hayır. Bu, kontrol listesiyle gelen katmanlı bir sağlamlaştırma tabanıdır; çıtayı yükseltir ama bağımsız bir sızma testinin veya güvenlik denetiminin yerini tutmaz. İkisi birbirini tamamlar. ## Fiyat ₺369, tek seferlik, abonelik yok. KDV dahil. İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)