Panel güvenliği yalnızca teknik altyapıdan ibaret değildir. Doğru rol dağılımı, düzenli erişim temizliği ve hassas export işlemlerinin kontrolü günlük güvenliğin temelidir.
Güvenlik tek bir önlem değil çok katmanlı bir disiplindir. Tek bir delik tüm zinciri zayıflatır; çok katman tüm zinciri korur.
Rol bazlı erişim
Her API ve panel ekranı restoran kapsamına göre kontrol edilmelidir. Owner sadece kendi restoranlarını, manager ise atanmış restoranı görmelidir.
Operasyon alışkanlıkları
- Ortak parola kullanmayın.
- Ayrılan çalışanların erişimini kapatın.
- Export dosyalarını yerel cihazlarda uzun süre tutmayın.
- Superadmin erişimini sınırlayın.
Ortam değişkenleri
Production ortamında JWT_SECRET güçlü ve benzersiz olmalıdır. API anahtarları ve servis hesapları sadece server-side env olarak tutulmalıdır.
Kontrol listesi / Checklist
- JWT_SECRET production’da set edildi.
- Superadmin sayısı minimum.
- Manager restoran scope’u doğru.
- Export yetkileri sınırlı.
- Eski ekip üyeleri kaldırıldı.
SSS / FAQ
JWT fallback production’da kullanılmalı mı?
Hayır. Production ortamında mutlaka güçlü bir JWT_SECRET tanımlanmalıdır.
CSV export herkes tarafından alınabilir mi?
Hayır. Export işlemleri rol ve restoran kapsamına göre sınırlandırılmalıdır.