Kimlik Doğrulama

SMSBAT ChatHub API, şirket belirteçleri ve operatör belirteçleri içeren iki seviyeli JWT belirteci tabanlı bir kimlik doğrulama sistemi kullanır.

Kimlik Doğrulama Akışı

graph TD
    A[Login Credentials] --> B[Get Company Token]
    B --> C[Use Company Token]
    C --> D[Get Operator Token]
    D --> E[Use Operator Token]
    E --> F[Validate Token]

Şirket Jetonu

Şirket belirteçleri, ChatHub API'ye kuruluş düzeyinde erişim sağlar.

Şirket Jetonu Alın

Uç nokta: 'POST /api/şirket/get-token'

Talep:

curl -X POST https://chatapi.smsbat.com/api/company/get-token \
  -H "Content-Type: application/json" \
  -d '{
    "login": "your-company-login",
    "password": "your-company-password"
  }'

İstek Gövdesi:

{
  "login": "string",
  "password": "string"
}

Yanıt:

"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

Yanıt bir JWT belirteç dizesidir.

Şirket Simgesini Kullan

İki yöntemden birini kullanarak şirket belirtecini API isteklerine ekleyin:

Yöntem 1: Yetkilendirme Başlığı (Önerilen)

curl -X GET https://chatapi.smsbat.com/api/company/organization \
  -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Yöntem 2: X-Yetkilendirme-Anahtar Başlığı

curl -X GET https://chatapi.smsbat.com/api/company/organization \
  -H "X-Authorization-Key: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."

Operatör Jetonu

Operatör belirteçleri, bir kuruluş içindeki bireysel operatörler için kullanıcıya özel erişim sağlar.

Operatör Jetonu Alın

Uç nokta: 'POST /api/operatör/get-token'

Talep:

curl -X POST https://chatapi.smsbat.com/api/operator/get-token \
  -H "Authorization: Bearer {company-token}" \
  -H "Content-Type: application/json" \
  -d '{
    "id": 123,
    "expiresAt": "2025-12-31T23:59:59Z"
  }'

İstek Gövdesi:

{
  "id": 0,
  "expiresAt": "2025-01-20T14:33:34.147Z"
}

Parametreler:

Parametre	Tür	Gerekli	Açıklama
'kimlik'	tamsayı	Evet	Operatör Kimliği
`süresi doluyor`	dize (ISO 8601)	Evet	Tokenın son kullanma tarihi ve saati (şu andan itibaren maksimum 24 saat)

Önemli: Maksimum jeton ömrü 24 saattir. 'expiresAt' parametresi gelecekte 24 saatten fazla olamaz.

Yanıt:

"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJvcGVyYXRvcl9pZCI6MTIzLCJleHAiOjE3Mzc0MTI3OTl9.example_signature"

Operatör Simgesini Kullan

Operatör belirtecini API isteklerine ekleyin:

curl -X GET https://chatapi.smsbat.com/api/operator \
  -H "Authorization: Bearer {operator-token}"

Jeton Doğrulaması

Kullanmadan önce bir jetonun hala geçerli olduğunu doğrulayın.

Uç nokta: 'POST /api/operatör/validate-token'

Talep:

curl -X POST https://chatapi.smsbat.com/api/operator/validate-token \
  -H "Authorization: Bearer {company-token}" \
  -H "Content-Type: application/json" \
  -d '{
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
  }'

İstek Gövdesi:

{
  "token": "string"
}

Yanıt (Geçerli Jeton):

{
  "isValid": true,
  "operatorId": 123,
  "clientId": 0,
  "expiresAt": "2025-12-31T23:59:59Z",
  "error": null
}

Yanıt (Geçersiz Belirteç):

{
  "isValid": false,
  "error": "Invalid token"
}

Tokenın Sona Ermesi

Şirket Tokenları

API'de açık bir son kullanma tarihi yok
Belirteç yaşam döngüsü politikaları için hesap yöneticinizle iletişime geçin
Güvenlik için jetonları periyodik olarak döndürün

Operatör Jetonları

Belirteç istenirken belirlenen son kullanma tarihi ("expiresAt" parametresi)
Kullanmadan önce belirteçleri doğrulayın
Süre dolmadan yeni jetonlar isteyin

Uygulama Örnekleri

Python

import requests
from datetime import datetime, timedelta

class ChatHubAuth:
    def __init__(self, base_url):
        self.base_url = base_url
        self.company_token = None
        self.operator_tokens = {}

    def get_company_token(self, login, password):
        """Get company authentication token"""
        response = requests.post(
            f"{self.base_url}/api/company/get-token",
            json={"login": login, "password": password}
        )
        response.raise_for_status()
        self.company_token = response.json()
        return self.company_token

    def get_operator_token(self, operator_id, expires_days=30):
        """Get operator token with expiration"""
        expires_at = (
            datetime.utcnow() + timedelta(days=expires_days)
        ).isoformat() + "Z"

        response = requests.post(
            f"{self.base_url}/api/operator/get-token",
            headers={"Authorization": f"Bearer {self.company_token}"},
            json={"id": operator_id, "expiresAt": expires_at}
        )
        response.raise_for_status()

        token = response.json()
        self.operator_tokens[operator_id] = token
        return token

    def validate_token(self, token):
        """Validate if token is still valid"""
        response = requests.post(
            f"{self.base_url}/api/operator/validate-token",
            headers={"Authorization": f"Bearer {self.company_token}"},
            json={"token": token}
        )
        response.raise_for_status()
        return response.json()

# Usage
auth = ChatHubAuth("https://chatapi.smsbat.com")

# Get company token
company_token = auth.get_company_token("login", "password")

# Get operator token
operator_token = auth.get_operator_token(operator_id=123, expires_days=30)

# Validate token
is_valid = auth.validate_token(operator_token)
print(f"Token valid: {is_valid['valid']}")

JavaScript (Node.js)

const axios = require('axios');

class ChatHubAuth {
  constructor(baseUrl) {
    this.baseUrl = baseUrl;
    this.companyToken = null;
    this.operatorTokens = {};
  }

  async getCompanyToken(login, password) {
    const response = await axios.post(
      `${this.baseUrl}/api/company/get-token`,
      { login, password }
    );

    this.companyToken = response.data;
    return this.companyToken;
  }

  async getOperatorToken(operatorId, expiresDays = 30) {
    const expiresAt = new Date(
      Date.now() + expiresDays * 24 * 60 * 60 * 1000
    ).toISOString();

    const response = await axios.post(
      `${this.baseUrl}/api/operator/get-token`,
      { id: operatorId, expiresAt },
      {
        headers: {
          Authorization: `Bearer ${this.companyToken}`
        }
      }
    );

    const token = response.data;
    this.operatorTokens[operatorId] = token;
    return token;
  }

  async validateToken(token) {
    const response = await axios.post(
      `${this.baseUrl}/api/operator/validate-token`,
      { token },
      {
        headers: {
          Authorization: `Bearer ${this.companyToken}`
        }
      }
    );

    return response.data;
  }
}

// Usage
const auth = new ChatHubAuth('https://chatapi.smsbat.com');

async function authenticate() {
  // Get company token
  const companyToken = await auth.getCompanyToken('login', 'password');

  // Get operator token
  const operatorToken = await auth.getOperatorToken(123, 30);

  // Validate token
  const validation = await auth.validateToken(operatorToken);
  console.log('Token valid:', validation.isValid);
}

authenticate();

PHP

<?php

class ChatHubAuth {
    private $baseUrl;
    private $companyToken;
    private $operatorTokens = [];

    public function __construct($baseUrl) {
        $this->baseUrl = $baseUrl;
    }

    public function getCompanyToken($login, $password) {
        $ch = curl_init($this->baseUrl . '/api/company/get-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json'
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'login' => $login,
            'password' => $password
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        $this->companyToken = json_decode($response);
        return $this->companyToken;
    }

    public function getOperatorToken($operatorId, $expiresDays = 30) {
        $expiresAt = date(
            'Y-m-d\TH:i:s\Z',
            time() + ($expiresDays * 24 * 60 * 60)
        );

        $ch = curl_init($this->baseUrl . '/api/operator/get-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json',
            'Authorization: Bearer ' . $this->companyToken
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'id' => $operatorId,
            'expiresAt' => $expiresAt
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        $token = json_decode($response);
        $this->operatorTokens[$operatorId] = $token;
        return $token;
    }

    public function validateToken($token) {
        $ch = curl_init($this->baseUrl . '/api/operator/validate-token');

        curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
        curl_setopt($ch, CURLOPT_POST, true);
        curl_setopt($ch, CURLOPT_HTTPHEADER, [
            'Content-Type: application/json',
            'Authorization: Bearer ' . $this->companyToken
        ]);
        curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode([
            'token' => $token
        ]));

        $response = curl_exec($ch);
        curl_close($ch);

        return json_decode($response, true);
    }
}

// Usage
$auth = new ChatHubAuth('https://chatapi.smsbat.com');

// Get company token
$companyToken = $auth->getCompanyToken('login', 'password');

// Get operator token
$operatorToken = $auth->getOperatorToken(123, 30);

// Validate token
$validation = $auth->validateToken($operatorToken);
echo "Token valid: " . ($validation['isValid'] ? 'Yes' : 'No');

En İyi Uygulamalar

Token Depolama

✅ Belirteçleri güvenli bir şekilde saklayın (şifreli veritabanı, sır yöneticisi)
✅ Asla sürüm kontrolüne belirteçler eklemeyin
✅ Kimlik bilgileri için ortam değişkenlerini kullanın
❌ Belirteçleri düz metin olarak saklamayın
❌ İstemci tarafı kodundaki belirteçleri açığa çıkarmayın

Token Rotasyonu

Şirket jetonlarını periyodik olarak değiştirin (her 3-6 ayda bir)
Operatör belirteçleri için makul bir son kullanma tarihi belirleyin (7-30 gün)
Süre dolmadan otomatik jeton yenilemeyi uygulayın
Operatörler ayrıldığında jetonları iptal edin

Hata İşleme

async function authenticateWithRetry(login, password, retries = 3) {
  for (let i = 0; i < retries; i++) {
    try {
      return await getCompanyToken(login, password);
    } catch (error) {
      if (error.response?.status === 401) {
        throw new Error('Invalid credentials');
      }

      if (i === retries - 1) throw error;

      // Wait before retry
      await new Promise(resolve =>
        setTimeout(resolve, Math.pow(2, i) * 1000)
      );
    }
  }
}

Belirteç Doğrulaması

Kritik işlemlerden önce daima belirteçleri doğrulayın:

async function performSecureOperation(token, operation) {
  // Validate token first
  const validation = await validateToken(token);

  if (!validation.isValid) {
    throw new Error('Token expired or invalid');
  }

  // Proceed with operation
  return await operation();
}

Güvenlik Hususları

Yalnızca HTTPS

Kimlik doğrulama istekleri gönderirken her zaman HTTPS kullanın:

// ✅ Correct
const baseUrl = 'https://chatapi.smsbat.com';

// ❌ Wrong - never use HTTP for authentication
const baseUrl = 'http://api.chathub.smsbat.com';

Token Kapsamı

Her işlem için uygun jetonu kullanın:

Şirket Tokenı: Organizasyon yönetimi, operatör oluşturma
Operatör Jetonu: Sohbet işlemleri, mesaj işleme

Hız Sınırlama

Kimlik doğrulama istekleri için hız sınırlaması uygulayın:

class RateLimitedAuth {
  constructor() {
    this.lastRequest = 0;
    this.minInterval = 1000; // 1 second between requests
  }

  async getToken(login, password) {
    const now = Date.now();
    const timeSinceLastRequest = now - this.lastRequest;

    if (timeSinceLastRequest < this.minInterval) {
      await new Promise(resolve =>
        setTimeout(resolve, this.minInterval - timeSinceLastRequest)
      );
    }

    this.lastRequest = Date.now();
    return await makeAuthRequest(login, password);
  }
}

Sorun Giderme

401 Yetkisiz

Kimlik bilgilerinin doğru olduğunu doğrulayın
Çek jetonunun süresinin dolmaması
Belirtecin istek başlıklarına dahil edildiğinden emin olun
Belirteç biçimini doğrula

403 Yasak

Belirtecin gerekli izinlere sahip olduğunu doğrulayın
Doğru jeton türünün kullanılıp kullanılmadığını kontrol edin (şirket vs operatör)
Belirtecin iptal edilmediğinden emin olun

Belirtecin Süresi Doldu

Yeni jeton talep et
Otomatik jeton yenilemeyi uygulayın
Uygun son kullanma sürelerini ayarlayın

Sonraki Adımlar

Kuruluşlar - Kuruluşları yönetin
Operatörler - Operatörlerle çalışın
Widget Entegrasyonu - Sohbet widget'ını entegre edin