SMS entegrasyonu küçük bir yardımcı özellik gibi görünür, fakat ürün güvenliği ve kullanıcı deneyimi üzerinde büyük etkisi vardır. OTP doğrulama, işlem bildirimi, pazarlama SMS'i, teslimat raporu ve çağrı merkezi akışları aynı teknik ve hukuki sınıfa girmez.
Bu rehber, API Deposu'ndaki Netgsm SMS API, İleti Merkezi API ve Bulutfon API kayıtlarını Türkiye ürünleri açısından karşılaştırır.
Hızlı karşılaştırma
| API | En iyi kullanım | Kimlik doğrulama | Not |
|---|---|---|---|
| Netgsm | OTP, bildirim SMS, toplu SMS | API Key / kullanıcı + şifre | BTK ve İYS notları önemli |
| İleti Merkezi | A2P SMS ve teslimat raporları | OAuth 2.0 | Toplu SMS ve OTP senaryoları |
| Bulutfon | Sanal santral, çağrı ve SMS | API Key | SMS dışında çağrı merkezi kapsamı var |
OTP ile pazarlamayı ayırın
OTP mesajı, kullanıcının giriş veya işlem doğrulaması için beklediği güvenlik mesajıdır. Pazarlama SMS'i ise ticari ileti olarak ele alınır ve izin süreçleri farklıdır. Bu ayrımı hem kodda hem ürün metninde net tutmak gerekir.
Örneğin OTP endpoint'i düşük gecikme, kısa geçerlilik süresi, tekrar gönderim limiti ve brute-force koruması ister. Pazarlama mesajı ise izin kontrolü, abonelikten çıkma, kampanya planlama ve raporlama gerektirir. Aynı SMS sağlayıcısı kullanılsa bile domain kuralları farklı olmalıdır.
Rate limit ve kötüye kullanım
SMS gönderimi doğrudan maliyet üretir. Bu yüzden Netgsm veya İleti Merkezi gibi sağlayıcıları backend arkasına koymak şarttır. Kullanıcı, IP, telefon numarası ve işlem türü bazlı limitler ayrı tutulmalıdır.
OTP için "dakikada kaç deneme", "günde kaç mesaj", "aynı numaraya kaç tekrar" gibi limitler tanımlanmalıdır. Aksi halde saldırganlar hem maliyet oluşturabilir hem gerçek kullanıcıların doğrulama deneyimini bozabilir.
Teslimat raporları
SMS gönderildi demek kullanıcının aldığı anlamına gelmez. Teslimat raporları, başarısız operatör dönüşleri ve geç ulaşan mesajlar izlenmelidir. Kritik OTP akışında kullanıcıya yeniden gönderme seçeneği verilmeli, fakat bu seçenek de rate limit altında olmalıdır.
Hata kodlarını sağlayıcıya özgü bırakmayın. Backend içinde DELIVERED, FAILED, PENDING, EXPIRED, REJECTED gibi ortak durumlar kullanmak destek ve analiz ekranlarını sadeleştirir.
Çağrı merkezi ve VoIP kapsamı
Bulutfon, sadece SMS değil sanal santral ve çağrı kayıtları gibi iletişim akışları için de değerlendirilebilir. Eğer ürününüz satış ekibi, destek hattı veya çağrı kaydı ile çalışıyorsa iletişim API'si seçimi SMS sağlayıcısı seçiminden daha geniş bir konuya dönüşür.
Bu durumda kişisel veri ve çağrı kaydı saklama politikaları devreye girer. Hangi kayıt ne kadar tutulacak, kim dinleyebilir, kullanıcıya nasıl bildirilecek ve destek ekranında nasıl maskelenecek soruları teknik tasarımın parçası olmalıdır.
OTP tasarım detayları
OTP kodlarının kısa ömürlü olması gerekir. Kod süresi çok uzunsa ele geçirilme riski artar; çok kısaysa kullanıcı mesaj geç ulaştığında işlem yapamaz. Ürün tipine göre 3-10 dakika arası bir pencere değerlendirilir, fakat kesin süre güvenlik ihtiyacına göre belirlenmelidir.
Kod doğrulama denemeleri de sınırlanmalıdır. Aynı telefon numarasına arka arkaya çok fazla kod gönderilmesi hem maliyet hem kötüye kullanım riskidir. Doğrulama endpoint'i de brute-force'a karşı limitlenmelidir; sadece gönderim endpoint'ini korumak yeterli değildir.
İletişim izni ve içerik ayrımı
İşlem bildirimi, güvenlik kodu ve pazarlama mesajı kullanıcı açısından farklı beklenti yaratır. Kampanya mesajı almak istemeyen kullanıcıya OTP gönderebilirsiniz, fakat bu teknik istisna pazarlama izni varmış gibi yorumlanmamalıdır. İzin modeli mesaj tipine göre ayrılmalıdır.
SMS metni de açık olmalıdır. Kullanıcı hangi işlem için kod aldığını anlamalı, kodun kimseyle paylaşılmaması gerektiğini görmelidir. Bu küçük metinler güvenlik ürününün parçasıdır.
İlgili API Deposu kayıtları
Kaynaklar
Sik Sorulan Sorular
›OTP SMS için hangi API seçilmeli?
OTP için teslimat hızı, raporlama, hata kodları ve yedek sağlayıcı planı önemlidir. Netgsm ve İleti Merkezi gibi SMS odaklı sağlayıcılar bu akış için değerlendirilebilir.
›Ticari SMS gönderirken İYS önemli mi?
Evet. Ticari iletilerde izin yönetimi ve İYS gereksinimleri dikkate alınmalıdır. OTP ve işlem bildirimi ile pazarlama mesajı aynı sınıfta değerlendirilmemelidir.
›SMS API anahtarı frontend'de tutulabilir mi?
Hayır. SMS gönderimi maliyet ve kötüye kullanım riski taşıdığı için sağlayıcı anahtarları backend tarafında tutulmalı, kullanıcı bazlı rate limit uygulanmalıdır.
›Bulutfon SMS dışında ne için kullanılabilir?
Bulutfon sanal santral, çağrı kayıtları ve iletişim servisleri için değerlendirilebilir. Sadece SMS değil, çağrı merkezi ve VoIP iş akışları da kapsamda olabilir.