« Tüm yayınlar

Açık Bankacılık API'leriyle İşlem Senkronizasyonu Rehberi

PSD2 açık bankacılık entegrasyonunda onay akışı, token yenileme, sayfalama, tekilleştirme ve rate-limit yönetimini üretim örnekleriyle anlatan teknik rehber.

Bu rehber, açık bankacılık (PSD2) entegrasyonlarında çoğu tutorialın atladığı üretim detaylarına odaklanıyor: onay (consent) akışı, ilk toplu veri çekimi, zamanlanmış artımlı senkronizasyon ve token yenileme döngüsü. Onay tokenlarının PSD2 kapsamında en fazla 180 gün (genelde 90 gün) geçerli olduğu, yenilenmesi için kullanıcının yeniden yetkilendirme yapması gerektiği vurgulanıyor. Sağlayıcı karşılaştırmasında Plaid, TrueLayer, Tink, GoCardless ve open-banking.io gibi seçenekler; sertifika gereksinimi (eIDAS QWAC, yıllık 3.000-15.000 Euro maliyetle), fiyatlandırma modeli ve banka kapsamı açısından ele alınıyor.

Teknik kısımda cursor tabanlı sayfalama, 429 rate-limit yanıtlarında Retry-After başlığına göre geri çekilme (backoff) ve işlem tekilleştirme (deduplication) stratejileri kod örnekleriyle gösteriliyor. Özellikle bekleyen (pending) bir işlemin kesinleşince transactionId değiştirebilmesi nedeniyle, tutar+tarih+karşı taraf bilgisiyle eşleştirme yapılması öneriliyor. Ayrıca toplu onboarding sonrası aynı gün onay sürelerinin dolmasının bildirim kuyruğunu tıkayabileceği, bu yüzden onboarding'in zamana yayılması veya bildirimlere jitter eklenmesi gerektiği belirtiliyor.

Mühendisler için asıl mesaj şu: açık bankacılık API'lerinin temel REST yapısı sağlayıcıdan sağlayıcıya benzese de, gerçek zorluk consent yaşam döngüsü, tekilleştirme mantığı ve rate-limit yönetimidir. Bu üç alan doğru tasarlanmadığında üretimde sessizce veri kaybı, mükerrer kayıt veya beklenmedik 429 hataları ortaya çıkıyor.