Modern mobil uygulamaların %95’i internet bağlantısı üzerinden veri alışverişi yapıyor. Bu uygulamalar; ürün listeleri, kullanıcı hesapları, mesajlaşma, ödeme işlemleri, bildirim ve konum verisi gibi onlarca farklı bilgiye API aracılığıyla erişiyor. Dolayısıyla mobil uygulama geliştirme sürecinde API mimarisi, performansın, güvenliğin ve ölçeklenebilirliğin temel yapı taşıdır.

Bu rehberde, mobil uygulamalar için en iyi API mimarisini nasıl kurabileceğinizi, güvenli bağlantı tekniklerini, ölçeklenebilir backend yapısını ve profesyonel API senaryolarını detaylı bir şekilde ele alıyoruz.

1. API Tabanlı Mobil Uygulama Ne Demektir?

API tabanlı mobil uygulamalar, tüm veriyi sunucudan REST API, GraphQL veya WebSocket aracılığıyla alır.

API tabanlı uygulamalar şu işlemleri yapar:

✔ kullanıcı giriş-çıkış
✔ ürün/sipariş yönetimi
✔ bildirim
✔ canlı sohbet
✔ veri gönderimi
✔ veri sorgulama
✔ dosya yükleme
✔ offline mode ile senkronize çalışma

Backend API ne kadar güçlü olursa, mobil uygulama o kadar stabil olur.

2. REST API vs GraphQL vs WebSocket

Mobil uygulama geliştirirken hangi API türünü kullanacağınızı bilmek çok önemlidir.

REST API

✔ en yaygın
✔ basit ve anlaşılır
✔ HTTP üzerinde çalışır
✔ CRUD yapısı için ideal

GraphQL

✔ tek istekte çok veri
✔ gereksiz veri almadan sadece ihtiyaç duyulan veriyi çekme
✔ büyük projelerde performans avantajı

WebSocket

✔ gerçek zamanlı iletişim sağlar
✔ chat, canlı konum, bildirim gibi özelliklerde zorunludur

Kural:
E-ticaret → REST
Sosyal medya → REST + WebSocket
Büyük, karmaşık uygulamalar → GraphQL + REST

3. Mobil Uygulamalar İçin Güvenli API Bağlantısı

✔ HTTPS Zorunlu

HTTP ile veri göndermek artık yasaklanmaya yakın derecede risklidir.

✔ JWT Token Doğrulama

Mobil uygulamalarda en güvenilir kimlik doğrulama yöntemidir.

Token bilgi içerir:
• user id
• expire time
• session data
• güvenlik imzası

✔ Token Yenileme (Refresh Token)

Kullanıcıyı sürekli giriş yapmaya zorlamaz.

✔ Rate Limit (İstek Sınırı)

Bot saldırılarını engeller.

✔ IP / Device ID kontrolü

Güvenlik duvarı işlevi görür.

✔ OAuth 2.0 ile Sosyal Giriş

Google / Apple girişleri yüksek güvenlik sağlar.

✔ SSL Pinning

Uygulamanın sadece belirli sunucularla konuşmasını sağlar.
Bankacılık uygulamaları için zorunludur.

Bu yöntemler olmadan “güvenli API” mümkün değildir.

4. API Performansını Artırma Teknikleri

Mobil uygulamalar düşük gecikme ister.
Yavaş API → kötü kullanıcı deneyimi → düşük puan.

API performansını yükseltmek için:

✔ Cache (Redis / Memcached)
✔ Query optimizasyonu
✔ Pagination kullanımı
✔ Gereksiz alanları kaldırma
✔ CDN ile statik dosya yönetimi
✔ Load Balancer kullanımı
✔ Mikroservis mimarisi (büyük ölçek için)

Performans optimizasyonu backend mimarisinin temelidir.

5. Mobil Uygulamalarda En Önemli API Senaryoları

--- A) Kullanıcı Giriş & Kayıt

• JWT token
• SMS OTP doğrulama
• sosyal giriş
• brute force koruması

--- B) Ürün / İçerik Listeleme (Caching ile)

En çok istek bu endpoint'e gelir.
Bu yüzden:
✔ cache
✔ pagination
✔ kategorilere göre filtreleme
zorunludur.

--- C) Sipariş / Sepet İşlemleri

• transaction desteği
• güvenli ödeme
• fatura verisi
• stok kontrolü

--- D) Push Bildirim API’leri

Firebase veya APNS üzerinden çalışır.

Gönderilen veri:
• title
• message
• extra data (link, id vb.)

--- E) Dosya Yükleme (Upload API)

Özellikle profil fotoğrafları için:

✔ dosya boyutu limiti
✔ mime type kontrolü
✔ virüs taraması
✔ optimize edilmiş görsel kaydı

--- F) Gerçek Zamanlı Sohbet (Chat WebSocket)

Mobil uygulamalarda sık kullanılır.

İşlemler:
• mesaj gönderme
• okundu bilgisi
• çevrimiçi kullanıcılar
• typing indicator

WebSocket olmadan gerçek zamanlı chat mümkün değildir.

6. Backend Mimarisi Nasıl Dizayn Edilmelidir?

1. Monolitik Mimari

Tek proje → daha hızlı geliştirilen küçük uygulamalar.

2. Mikroservis Mimari

• ödeme servisi
• ürün servisi
• mesajlaşma servisi
• kullanıcı servisi

Büyük projelerde ölçeklenebilirlik sağlar.

7. API Güvenlik Açıklarını Önlemek (OWASP Mobile Top 10)

En yaygın hack yöntemleri:

• brute force
• token hırsızlığı
• insecure storage
• SSL zayıflığı
• API rate limit bypassı

Çözüm:

✔ token doğrulama
✔ SSL pinning
✔ güvenli depolama (Keychain / Keystore)
✔ firewall (WAF)
✔ loglama
✔ IP bazlı engelleme

Güvenli API → güvenli mobil uygulama.

8. API Test Araçları

API performans ve güvenlik testlerinde kullanılan araçlar:

• Postman
• Insomnia
• JMeter
• K6
• Swagger
• Charles Proxy
• OWASP ZAP

Bu araçlar yüksek kaliteli API geliştirmek için zorunludur.

9. API + Mobil Uygulama Senkronizasyonunda Dikkat Edilmesi Gerekenler

✔ yavaş internet senaryoları test edilmeli
✔ bozuk JSON format hataları engellenmeli
✔ çoklu cihaz oturumları yönetilmeli
✔ hata mesajları kullanıcıya sade iletilmeli
✔ offline mode desteklenmeli

Mobil deneyim tamamen API’nin kalitesine bağlıdır.

10. Sonuç: Güçlü API, Güçlü Mobil Uygulama Demektir

Mobil uygulamalarda başarı; hızlı, güvenli ve ölçeklenebilir bir API mimarisine bağlıdır.
Güçlü bir backend altyapısı olmadan en iyi tasarım bile kullanıcı memnuniyeti sağlayamaz.

Modern API mimarisinin temel taşları:
✔ güvenli bağlantı (JWT + HTTPS + OAuth)
✔ yüksek performans (cache + optimized queries)
✔ ölçeklenebilir yapı (load balancer + microservices)
✔ offline destek
✔ gerçek zamanlı iletişim (WebSocket)
✔ güçlü test mekanizması

API’nin gücü, mobil uygulamanın kalitesini doğrudan belirler.