Skip to main content
Rotasyon, anahtarın client_id değerini korur (servisinizdeki konfigürasyonu değiştirmeden) ama client_secret’ı yeniler. Sızıntı şüphesinde veya periyodik güvenlik politikası gereği kullanılır.

Endpoint

POST /api/v1/tenants/me/api-keys/{id}/rotate-secret
Bearer access token + tenant-admin rolü gerektirir.

İstek

curl -X POST https://identity.payven.com.tr/api/v1/tenants/me/api-keys/8e3f5c12-.../rotate-secret \
  -H "Authorization: Bearer $PAYVEN_TOKEN" \
  -H "Idempotency-Key: rotate-prod-payments-2026-05"
Body gerekmez.

Yanıt

200 OKRotateSecretResult: 
{
  "api_key": {
    "id":                       "8e3f5c12-...",
    "client_id":       "pvk-payven-a1b2c3",
    "display_name":             "Production — Ödeme Servisi",
    "is_active":                true,
    "created":                  "2026-01-15T10:00:00.000+00:00"
  },
  "secret":      "yeni_secret_AbC123dEf456GhI789jKl",
  "rotated_at":  "2026-05-03T12:34:56.789+00:00"
}
Eski secret 24 saat boyunca geçerli kalır — zero-downtime geçiş için. Bu sürede her iki secret ile token alınabilir.

Önerilen rotation akışı

1

Yeni secret üret

POST /api-keys/{id}/rotate-secret → yanıttan yeni secret değerini al.
2

Secret manager'a yaz

Production secret store’unda yeni değeri kaydet.
3

Servisi rolling restart ile dağıt

Yeni secret ile başlayan instance’lar access token alıp çalışmaya başlar. Eski instance’lar hâlâ eski secret’la çalışıyor — 24 saat boyunca her iki secret geçerli.
4

24 saat sonra eski secret otomatik geçersiz olur

Geçişin sorunsuz olduğunu konsoldan API Kayıtları ekranıyla doğrula.

Acil rotation (sızıntı şüphesi)

Sızıntı şüphesi varsa 24 saatlik geçiş penceresini beklemek istemezsiniz. Anlık etki için iki seçenek:
  1. Anahtarı pasife alınPUT /api-keys/{id} ile is_active: false. Token üretimi anında durur. Sonra rotate-secret yapın.
  2. Anahtarı silinDELETE /api-keys/{id}. Yeni anahtar oluşturup servislerinizi yeniden konfigüre edin.
Detay: Anahtar Revoke / Silme.

Hata response’ları

Hata yanıtı RFC 9457 problem+json.
HTTPcodeAnlam
404api_key_not_foundAnahtar bulunamadı veya bu tenant’a ait değil
403forbiddentenant-admin rolü yok

En iyi uygulamalar

6 ayda bir rotasyon — periyodik güvenlik standardı.
Ekip değişiminde rotasyon — bir kişi ayrıldığında erişebildiği anahtarları döndürün.
Sızıntı sonrası anlık pasife alma + rotasyon — 24 saatlik geçiş penceresini beklemeyin.
Audit log takibi — rotasyon olayları konsoldaki API Kayıtları → Audit ekranında loglanır.