Sprint 1: giriş, ödeme ve zip imzası (v1.2.28)

Sürüm v1.2.28 (Sprint 1) yönetici ve müşteri girişlerinde hız sınırlama, ödeme geri dönüşünde sıkı tutar doğrulaması ve isteğe bağlı sistem güncelleme paketi imzasını içerir.

Giriş (admin ve müşteri paneli)

• POST /login ve /panel/login için dakikada sınırlı deneme (aynı e-posta + IP birleşimi).
• Yanlış şifre / uyumsuz hesap için mümkün olduğunca tek tip mesaj; hesap varlığı veya yönetici olup olmadığı hakkında ipucu verilmez.

iyzico ödeme geri dönüşü

• iyzico yanıtındaki conversationId, ödeme oturumundaki değerle eşleşmelidir.
• paidPrice sepet tutarıyla kuruş düzeyinde aynı olmalıdır; sapma veya eksik tutarda sipariş oluşturulmaz.
• Aynı paymentId ile tekrarlanan bildirimlerde sipariş yeniden üretilmez (tekrar yükleme / çift sekme).
• Ödeme alındı ancak kayıt oluşmadı hatasında oturum verisi korunur; destek müdahalesi için tekrar deneme mümkün olabilir.

Sistem güncelleme zip imzası (opsiyonel)

• Canlı .env içinde SYSTEM_UPDATE_PACKAGE_PUBLIC_B64 tanımlıysa zip içinde WGPANEL.sig dosyası zorunludur; sodium PHP eklentisi gerekir.
• İmzalama bakım makinesinde: staging dizinine dosyaları çıkarın, php scripts/sign-wgpanel-update-staging.php <staging> <seed32.hex> çalıştırın, üretilen public key’i canlıya yazın, zip’i yeniden oluşturun.
• Public key boş bırakıldığında (varsayılan) imza doğrulaması yapılmaz.

Sağlık kontrolü

php artisan hostpanel:doctor — üretimde APP_DEBUG, LOG_LEVEL, HTTPS ve oturum Secure uyumu için kısa kontrol listesi.

İlgili makaleler

• Sprint 0: kurulum ve içerik güvenliği
• Sistem güncelleme