Enravo Core

Kendi platformumuz üzerinde geliştiriyoruz.

Enravo Core; şema tabanlı endpoint'ler, yapılandırılabilir güvenlik katmanı ve headless mimariye sahip modüler, API-first bir platformdur. Ticaretten mobil uygulamalara — her ürünümüz aynı çekirdekte çalışır.

Enravo Core

All systems operational

Platform

Schema Engine

API Engine

Module System

Trust

Guard Pipeline

PoP Signing

Device Binding

Request flow

JWT→

Device→

PoP→

App→

Ability→

Policy

ALLOW

Uptime

99.9%

Avg Response

3ms

Modules

Active

Her ürünümüz Enravo Core üzerinde çalışır. İstisnasız.

Sıfırdan inşa edildi

Çoklu istemci yönetimi

İstemci bazlı güvenlik politikaları

Cihaza bağlı oturumlar

ECDSA P-256 imzaları

İhlalde otomatik engelleme

Rol bazlı endpoint erişimi

Eksiksiz denetim kaydı

Donanım attestation

Sıfır üçüncü taraf auth

Sıfırdan inşa edildi

Çoklu istemci yönetimi

İstemci bazlı güvenlik politikaları

Cihaza bağlı oturumlar

ECDSA P-256 imzaları

İhlalde otomatik engelleme

Rol bazlı endpoint erişimi

Eksiksiz denetim kaydı

Donanım attestation

Sıfır üçüncü taraf auth

40+

Granular abilities

6-stage

Configurable pipeline

Database tables

∞

Extensible modules

Enravo Core ne sağlıyor

Veriden güvenliğe — birlikte çalışan modüler bileşenler.

İstemci Yönetimi

Birden fazla API istemcisi kaydedin — her biri kendi kimlik bilgileri, giriş rolleri, attestation modu, IP izin listesi ve endpoint kapsamına sahip. Mobil, masaüstü, headless, sunucu — tek panelden.

Cihaz Kontrolü

Kullanıcı başına maksimum aktif cihaz. Limit aşıldığında engelleme veya değiştirme modu. Her cihaz platform bilgisi, IP geçmişi ve push token ile takip edilir.

Uygulama Yaşam Döngüsü

Her uygulama örneği bir yaşam döngüsü izler: beklemede → aktif → iptal → yasaklı. İstemci bazlı otomatik onay veya admin incelemesi. Anlık iptal.

Şema Motoru

Veri modelinizi şema olarak tanımlayın — CRUD endpoint'leri, doğrulama, yetki kapsamları ve OpenAPI belgeleri UnifiedDriver ile otomatik üretilir.

Politika Motoru

8 varsayılan güvenlik politikası. Endpoint bazlı auth tipi, PoP modu, rate limit, IP izin listesi ve attestation gereksinimleri — tamamen deklaratif.

Erişim Kontrolü

40+ yetki, modül bazlı organizasyon. Wildcard eşleştirme (module/*), rol-yetki eşlemeleri ve istemci bazlı giriş rolü kısıtlamaları.

Tek platform, birçok kullanım alanı

SaaS, mobil uygulamalar, API güvenliği, çoklu istemci mimarileri — altında aynı çekirdek.

Tek altyapı, sınırsız istemci

İstemci izolasyonu

Her API istemcisi kendi kimlik bilgileri, giriş rolleri, rate limit ve güvenlik politikalarına sahiptir. Tüketici uygulaması 'müşteri' rolüyle, admin uygulaması 'yönetici' rolüyle kısıtlanır.

Platform tipleri

Mobil, masaüstü, headless web, sunucu — her istemci tipinin kendi attestation modu, paket beyaz listesi ve endpoint kapsamı vardır.

Merkezi yönetim

Tüm istemcileri yönetin, aktif uygulamaları görüntüleyin, cihazları izleyin ve politikaları tek bir admin panelinden ayarlayın.

Key capabilities

Client ManagementPolicy EngineRole RestrictionsRate Limits

Yerleşik güvenlikle çok kiracılı uygulamalar

Çok kiracılı izolasyon

Her kiracı kendi istemci yapılandırması, rol kısıtlamaları ve veri kapsamına sahip olur. Tek dağıtım birden fazla organizasyona hizmet verir.

Şema tabanlı API'ler

Veri modelinizi bir kez tanımlayın — CRUD endpoint'leri, doğrulama, izinler ve belgeler otomatik üretilir. Özellikleri daha hızlı sunun.

Kiracı başına yapılandırılabilir güvenlik

Kurumsal kiracılar PoP + attestation gerektirebilir. Ücretsiz katman kiracıları JWT-only kullanır. Aynı kod tabanı, farklı politikalar.

Key capabilities

Schema EnginePolicy EngineModule SystemAudit Trail

Her API için guard katmanı

Mevcut API'leri sarın

Enravo Core'un güvenlik katmanı mevcut API endpoint'lerinin önünde durur. PoP doğrulama, rate limiting ve denetim — backend'i yeniden yazmadan.

Guard pipeline

Altı aşamalı doğrulama: JWT → Device → PoP → App Chain → Ability Check → Allow. Her istek bağımsız değerlendirilir.

Otomatik tehdit yanıtı

5 imza hatası cihazı engeller. 3 attestation hatası cihazı engeller. 1 nonce tekrarı anında yasaklama tetikler. Brute force → 15 dakika IP kilidi.

Key capabilities

Guard PipelineAuto-BanAudit LoggingIP Allowlists

Donanıma bağlı mobil güvenlik

Cihaz kaydı

Her cihaz kurulumda ECDSA P-256 anahtar çifti üretir. Açık anahtar kaydedilir — oturumlar kriptografik olarak donanıma bağlıdır.

Cihaz limitleri

Kullanıcı başına maksimum aktif cihaz. Engelleme modu yeni girişleri reddeder. Değiştirme modu en eski cihazı otomatik çıkarır. İstemci bazlı yapılandırılabilir.

Uygulama attestation

Play Integrity ve App Attest, herhangi bir hassas işleme izin verilmeden önce uygulamanın orijinal ve değiştirilmemiş olduğunu doğrular.

Key capabilities

Proof of PossessionDevice BindingApp LifecyclePush Tokens

Enravo Core

Altyapıda nasıl çalışıyor

Enravo Core, geliştirdiğimiz her ürünün arkasındaki altyapıdır. Platform katmanı şemalardan API üretir, modülleri yönetir ve veriyi işler. Trust katmanı yapılandırılabilir bir guard pipeline sunar — endpoint başına altı doğrulama aşamasına kadar — device binding, PoP imzalama ve otomatik tehdit yanıtı ile. Birlikte tek bir sistem oluştururlar.

Platform: Schema Engine, API Engine, Module System, UI Engine
Trust: Guard Pipeline, Device Binding, PoP, Attestation, Policy Engine
Şema tanımlarından otomatik CRUD endpoint üretimi
40+ granüler yetki ve wildcard izin eşleştirme
Her API isteği ve yapılandırma değişikliğinde eksiksiz denetim kaydı

POST/enravo/v1/auth/login

http

1POST /enravo/v1/auth/login
2Content-Type: application/json
3X-Client-ID: mobile_consumer
4X-Device-ID: dev_9f8e7d6c
5X-PoP-Signature: eyJhbGciOiJFUzI1NiJ9...
6
7{
8  "username": "user@example.com",
9  "password": "••••••••",
10  "device_info": {
11    "platform": "android",
12    "app_version": "2.4.1"
13  }
14}

Enravo Trust

Enravo Core'un içindeki güvenlik katmanı.

Enravo Trust, Enravo Core'un içine yerleşik güvenlik katmanıdır. Yapılandırılabilir bir guard pipeline sunar — her istemci tipi ve endpoint kendi güvenlik politikasına sahip olur. Mobil uygulamalar Play Integrity + PoP imzası gerektirebilir, public API'ler daha hafif doğrulama kullanır. Device binding, attestation ve auto-ban politika bazlı açılıp kapatılabilir.

Endpoint bazlı politikalar: auth tipi, PoP modu, rate limit, attestation — hepsi yapılandırılabilir
Mobil istemciler: Play Integrity + App Attest + cihaza bağlı PoP imzalama
Web/sunucu istemcileri: JWT-only veya PoP opsiyonel — uygun yerde daha hafif doğrulama
Otomatik engelleme eşikleri istemci bazlı yapılandırılabilir: 5 imza hatası, 1 nonce tekrarı, brute force kilidi

Trust

active

JWT

PoP

device

Enravo Core3 signals

Fark mimari düzeyde

	Geleneksel Yapı	Enravo Core
Kimlik Doğrulama	Üçüncü taraf auth sağlayıcısı. SDK entegrasyonu, webhook senkronizasyonu, token format uyumsuzlukları, satıcı bağımlılığı.	Yerleşik guard pipeline. JWT → Device → PoP → Ability Check — tek sistem, sıfır bağımlılık.
Cihaz Güvenliği	Cihaz yönetimi kavramı yok. Token'lar her cihazda çalışır, çalınan kimlik bilgileri her yerde kullanılabilir.	Cihaz başına ECDSA P-256 anahtar çiftleri. Oturumlar donanıma bağlı. Çalınan token'lar işe yaramaz.
Erişim Kontrolü	Basit rol string'leri. Manuel endpoint eşlemesi. Wildcard eşleştirme yok. Ölçekte yönetilemez hale gelir.	40+ granüler yetki. Wildcard eşleştirme (module/*). İstemci bazlı giriş rolü kısıtlamaları.
Tehdit Yanıtı	Ayrı WAF. Ayrı rate limiter. Ayrı loglama. Üç satıcı, üç panel, kör noktalar.	Otomatik: 5 imza hatası → cihaz engellenir. 1 nonce tekrarı → anında yasaklama. Guard katmanına yerleşik.
API Üretimi	Her endpoint elle yazılır. Manuel doğrulama. Manuel OpenAPI spesifikasyonları. Aylarca boilerplate.	Şema tanımlayın. CRUD endpoint'leri, doğrulama, izinler ve belgeler otomatik üretilir.
Denetim Kaydı	Sonradan eklenen loglama servisi. Eksik kapsam. Auth olayları ile API çağrıları arasında korelasyon yok.	Her istek kaydedilir — cihaz, istemci, kullanıcı, IP, endpoint, kullanılan yetki, uygulanan politika.

Yerleşik gözlemlenebilirlik

Her istek, cihaz ve tehdit — gerçek zamanlı takip.

Enravo Core Dashboard

Live

Requests / 24h

0+12%

Guard Pass Rate

0+0.2%

Active Devices

0+38

Threats Blocked

0-5

Recent Activity

Auto-ban triggered — nonce replay detected on dev_f4e3d2c12m ago

New device enrolled: dev_7a8b9c0d (iOS, user #318)5m ago

Rate limit warning — client esc_x9y8z7 approaching 80% threshold12m ago

App attestation passed — Play Integrity verified for com.enravo.app18m ago

Schema migration applied — product.v3 deployed to all clients34m ago

3 clients 12 devices

v2.4.1

Çalışırken görün

İstemci kaydı, guard pipeline durumu, cihaz yönetimi — komut satırından.

terminal

Ekosistem ve entegrasyonlar

SDK'lar, altyapı ve güvenlik entegrasyonları.

Client SDKs

Kotlin SDK

Android ve JVM backend entegrasyonu, PoP imzalama desteği.

Swift SDK

Keychain destekli ECDSA anahtar çiftleriyle iOS entegrasyonu.

HTTP / REST

Dil bağımsız API erişimi. HTTP konuşan her istemci.

Infrastructure

PostgreSQL

Birincil veri deposu. Schema Engine doğrudan tablolara eşlenir.

Redis

Oturum önbelleği, rate limit sayaçları ve nonce tekrar deposu.

Docker

Konteynerleştirilmiş dağıtım. Tek imaj, tüm katmanlar dahil.

Security Integrations

Play Integrity

Android istemcileri için Google Play uygulama attestation.

App Attest

iOS istemcileri için Apple DeviceCheck attestation.

ECDSA P-256

Tüm platformlar için Proof of Possession imzalama standardı.

Kullanılan teknolojiler

Sıkça sorulan sorular

Blogdan

Enravo ekibinden teknik makaleler ve platform güncellemeleri.

Tüm yazıları gör

Security

Why Proof of Possession Matters More Than Ever

Bearer tokens are a liability. How ECDSA-based proof of possession makes stolen tokens worthless and why every API should require it.

Platform

Multi-Client Security: One Core, Different Rules

How Enravo Core manages multiple API clients with isolated security policies, per-client login roles, and independent rate limits.

Security

Auto-Ban: How 5 Failures Block a Device Automatically

Inside Enravo Trust's automatic threat response — signature failures, nonce replays, and brute force attacks contained in real-time.

Platform

App Lifecycle: From Pending to Banned

How Enravo Core manages app instances through a four-stage lifecycle with admin approval workflows and instant revocation.

Nasıl geliştirdiğimizi merak ediyor musunuz?

Enravo Core, her ürünümüzün arkasındaki altyapıdır. Mimari, güvenlik modeli veya sırada ne olduğu hakkında merak ediyorsanız — konuşalım.

Altyapıda nasıl çalışıyor

Platform: Schema Engine, API Engine, Module System, UI Engine

Trust: Guard Pipeline, Device Binding, PoP, Attestation, Policy Engine

Şema tanımlarından otomatik CRUD endpoint üretimi

40+ granüler yetki ve wildcard izin eşleştirme

Her API isteği ve yapılandırma değişikliğinde eksiksiz denetim kaydı

1POST /enravo/v1/auth/login 2Content-Type: application/json 3X-Client-ID: mobile_consumer 4X-Device-ID: dev_9f8e7d6c 5X-PoP-Signature: eyJhbGciOiJFUzI1NiJ9... 6 7{ 8 "username": "user@example.com", 9 "password": "••••••••", 10 "device_info": { 11 "platform": "android", 12 "app_version": "2.4.1" 13 } 14}

Enravo Core'un içindeki güvenlik katmanı.

Endpoint bazlı politikalar: auth tipi, PoP modu, rate limit, attestation — hepsi yapılandırılabilir

Mobil istemciler: Play Integrity + App Attest + cihaza bağlı PoP imzalama

Web/sunucu istemcileri: JWT-only veya PoP opsiyonel — uygun yerde daha hafif doğrulama

Otomatik engelleme eşikleri istemci bazlı yapılandırılabilir: 5 imza hatası, 1 nonce tekrarı, brute force kilidi

Fark mimari düzeyde

	Geleneksel Yapı	Enravo Core
Kimlik Doğrulama	Üçüncü taraf auth sağlayıcısı. SDK entegrasyonu, webhook senkronizasyonu, token format uyumsuzlukları, satıcı bağımlılığı.	Yerleşik guard pipeline. JWT → Device → PoP → Ability Check — tek sistem, sıfır bağımlılık.
Cihaz Güvenliği	Cihaz yönetimi kavramı yok. Token'lar her cihazda çalışır, çalınan kimlik bilgileri her yerde kullanılabilir.	Cihaz başına ECDSA P-256 anahtar çiftleri. Oturumlar donanıma bağlı. Çalınan token'lar işe yaramaz.
Erişim Kontrolü	Basit rol string'leri. Manuel endpoint eşlemesi. Wildcard eşleştirme yok. Ölçekte yönetilemez hale gelir.	40+ granüler yetki. Wildcard eşleştirme (module/*). İstemci bazlı giriş rolü kısıtlamaları.
Tehdit Yanıtı	Ayrı WAF. Ayrı rate limiter. Ayrı loglama. Üç satıcı, üç panel, kör noktalar.	Otomatik: 5 imza hatası → cihaz engellenir. 1 nonce tekrarı → anında yasaklama. Guard katmanına yerleşik.
API Üretimi	Her endpoint elle yazılır. Manuel doğrulama. Manuel OpenAPI spesifikasyonları. Aylarca boilerplate.	Şema tanımlayın. CRUD endpoint'leri, doğrulama, izinler ve belgeler otomatik üretilir.
Denetim Kaydı	Sonradan eklenen loglama servisi. Eksik kapsam. Auth olayları ile API çağrıları arasında korelasyon yok.	Her istek kaydedilir — cihaz, istemci, kullanıcı, IP, endpoint, kullanılan yetki, uygulanan politika.