Kimlik Doğrulama

Tüm API istekleri bir partner API anahtarı ile yetkilendirilir. Anahtarı Authorization başlığında Bearer şeması ile gönderirsiniz:

Authorization: Bearer ptk_live_xxxxxxxxxxxxxxxxxxxxxxxxxxxx

API anahtarı ile yapılan istekler partner-düzeyi entegrasyon içindir. Bu, müşteri panelinde kullanılan oturum (JWT/OTP) yetkilendirmesinden farklıdır ve onunla karıştırılmamalıdır.

Anahtar formatı

Anahtarlar bir önek ile başlar:

Önek	Kullanım
ptk_live_…	Canlı (prod) ortam
ptk_test_…	Test ortamı

Not

Anahtar önekinin ortam ayrımı ve test ortamına erişim onboarding sırasında netleştirilir. Yukarıdaki ptk_test_ örneği yalnızca format gösterimidir; kesin değer ve test ortamı bilgileri size onboarding’de verilir.

Anahtar yönetimi

• Anahtar yalnızca üretildiği anda bir kez tam haliyle gösterilir. Güvenli bir yerde saklayın.
• Kaybederseniz geri alınamaz; yeni bir anahtar üretmeniz gerekir.
• Anahtarın yalnızca görünür bir kimliği (örn. son birkaç karakter) listelerde görünür.

Güvenlik

API anahtarını asla istemci tarafında (tarayıcı, mobil uygulama) ya da herkese açık bir repoda tutmayın. Anahtar yalnızca sunucu-sunucu (server-to-server) çağrılarında kullanılır. Sızması durumunda derhal yeni anahtar üretin ve eskisini iptal edin.

Yetkisiz istekler

Geçersiz, eksik ya da iptal edilmiş anahtarla yapılan istekler 401 Unauthorized ile reddedilir ve standart hata yanıtı döner.