React Native uygulamalarını nasıl güvenliğe alırsınız?

Question

Accepted Answer

React Native uygulamalarının güvenliğini sağlamak **veri** koruması (güvenli depolama, şifrelenmiş iletim), **gizli diziler ve tokenlar**ın güvenli şekilde işlenmesi, **JavaScript bundle** güvenliği ve mobil güvenlik en iyi uygulamalarının uygulanmasını içerir. Uygulamalar hassas kullanıcı verilerini işledikleri için güvenlik önemlidir.

## Veri ve kimlik bilgisi güvenliği

```text
✓ SECURE STORAGE for sensitive data — react-native-keychain / expo-secure-store
  (encrypted, keychain/keystore) — NOT AsyncStorage (which is NOT encrypted) for tokens/
  credentials (a common mistake)
✓ HTTPS/TLS for all network traffic; certificate pinning for sensitive apps
✓ Don't HARDCODE secrets/API keys in the JS — the JS BUNDLE can be extracted/inspected
  (anything in the app can be reverse-engineered) → keep real secrets on the SERVER
✓ Secure auth: OAuth, short-lived tokens, secure refresh; biometric auth where appropriate
```

## Kod ve platform güvenliği

```text
✓ The JS bundle is shipped with the app → assume it can be READ:
  → don't embed sensitive logic/secrets; sensitive operations belong on the server
  → OBFUSCATE (limited protection); detect tampering/jailbreak/root for high-security apps
✓ Validate inputs; secure deep links (validate params); be careful with WebViews
✓ Keep DEPENDENCIES updated (npm vulnerabilities); audit packages (supply chain risk)
```

## Sunucu tarafı ve genel

```text
✓ NEVER trust the client → validate and authorize on the SERVER (the client can be
  tampered with — a fundamental principle)
✓ Least privilege; protect APIs (auth, rate limiting); don't leak data in logs
✓ Handle permissions minimally; protect user privacy
```

## Neden önemli

React Native uygulamalarının güvenliğini sağlama yöntemlerini anlamak, üst düzey bir bilgi düzeyinde önemlidir çünkü **uygulamalar cihazlarda bulunan ve tehlikeye düşebilen hassas kullanıcı verilerini işler**, bu nedenle güvenlik ihmal edildiğinde gerçek sonuçlara sahip olmak üzere gereklidir. **Veri ve kimlik bilgisi güvenliği** temel önemdedir: tokenlar gibi hassas veriler için **güvenli depolama** (react-native-keychain/expo-secure-store, şifrelenmiş) kullanmak — **AsyncStorage kullanmamak** çünkü şifrelenmemiştir (yaygın, ciddi bir hata) — tüm trafik için **HTTPS/TLS** kullanmak ve önemli olarak **JavaScript'te gizli dizileri hardcode etmemek** (çünkü **JS bundle uygulamayla birlikte gönderilir ve çıkarılarak incelenebilir** — uygulamadaki her şey tersine mühendislik uygulanabilir, bu nedenle gerçek gizli diziler sunucuda kalmalıdır).

Bu JS-bundle-okunabilir noktası, React Native'ye özel kritik bir güvenlik hususudur. **Kod ve platform güvenliği** bunu pekiştirir: JS bundle'ın okunabileceğini varsayarak (bu nedenle hassas mantık ve gizli diziler sunucuda kalmalı, istemcide değil), girdileri ve derin bağlantıları doğrulamak, WebView'lerle dikkatli olmak ve bağımlılıkları güncelleme tutmak (npm tedarik zinciri riski). **Sunucu tarafı doğrulama** gereklidir: **istemciye asla güvenilmemesi** (değiştirilme riski var) ve sunucuda doğrulama ve yetkilendirme yapılması gereken temel ilke — bu, istemcinin tersine mühendislik yapılabilir bir mobil uygulama olması nedeniyle özellikle önemli bir güvenlik temeli.

Bu katmanlı uygulamaları anlama — güvenli depolama, şifrelenmiş iletim, gizli dizileri sunucuda tutma, sunucu tarafı doğrulama ve bağımlılık güvenliği — hassas verileri işleyen uygulamalar için gerekli olan güvenlik zihniyetini yansıtır.

React Native uygulamaları tehlikeye düşebilen cihazlarda hassas verileri işlediğinden (JS bundle incelenebilir olması nedeniyle) ve uygun güvenlik (AsyncStorage değil güvenli depolama, hardcode edilmiş gizli diziler yok, sunucu tarafı doğrulama, HTTPS) ihmal edildiğinde yaşanan gerçek güvenlik açıklarını engellediğinden, React Native uygulamalarının güvenliğini sağlama yöntemlerini anlamak önemli, güvenlik açısından kritik üst düzey bir bilgidir — kullanıcı verilerini korumak, üst düzey rollerde beklenen güvenlik sorumluluğunu yansıtmak ve React Native uygulamalarında içkin olan gerçek mobil uygulama risklerini (özellikle okunabilir JS bundle ve güvenilmeyen istemci) ele almak için önemlidir.