Nasıl çalışır?
API anahtarı oluştururken veya düzenlerken bir IP listesi tanımlarsınız. Whitelist boş bırakılırsa tüm IP’lerden erişim açıktır.| Whitelist durumu | Davranış |
|---|---|
| Boş | Tüm IP’lerden istek kabul edilir |
| Bir veya daha fazla giriş | Yalnızca listedeki IP’lerden gelen istekler kabul edilir |
403 Forbidden ve ip_not_allowed koduyla reddedilir (RFC 9457 problem+json).
Desteklenen formatlar
| Format | Örnek | Anlam |
|---|---|---|
| Tek IP | 52.18.42.10 | Sadece bu IP |
| CIDR aralığı | 52.18.42.0/24 | 256 adresli aralık |
| IPv6 | 2a05:d018:abc::1 | IPv6 desteği |
Yapılandırma
Konsola gidin
Konsol → Ayarlar → API Anahtarları sayfasını açın.
IP'leri ekleyin
Sunucu IP’lerinizi tek tek veya CIDR formatında ekleyin. Aynı satırda virgülle ayırabilirsiniz.
Sunucunuzun IP’sini öğrenmek
Webhook tarafı
Payven’in size gönderdiği webhook istekleri sabit IP havuzlarından çıkar. Güncel havuz listesini almak için destek ekibimize ulaşın — değişikliklerde önceden e-posta ile bildirilir.Önerilen yaklaşım: Webhook tarafında birincil güvenlik mekanizması imza doğrulamadır, IP filtresi değildir. HMAC-SHA256 imza doğrulama kurun; IP filtresi yalnızca isteğe bağlı ek katman olarak değerlendirin.
Sık karşılaşılan sorunlar
403 ip_not_allowed dönüyor ama IP whitelist'te
403 ip_not_allowed dönüyor ama IP whitelist'te
Cloud ortamlarda çıkış IP’si dinamik olabilir (örn. AWS NAT Gateway elastic IP’siz). Statik bir IP atayıp tekrar deneyin.
Sandbox'ta whitelist'i devre dışı bırakabilir miyim?
Sandbox'ta whitelist'i devre dışı bırakabilir miyim?
Evet — geliştirme aşamasında sandbox anahtarınız için listeyi boş bırakabilirsiniz. Production’da ise mutlaka tanımlayın.
IPv6 destekleniyor mu?
IPv6 destekleniyor mu?
Evet. CIDR notasyonu da geçerlidir.