API: şirketinizin servisinin başka sistemlerle konuşması

REST en yaygın, en olgun, en çok dokümante edilen tip. Public API için standart seçim. OpenAPI 3 spec ile dokümante edilir; SDK generation otomatik.

GraphQL: client'in tam olarak hangi alanı istediğinin onayına dayalı; over-fetching ve under-fetching problemini çözer. Çoğu mobil app + web frontend ortak data ihtiyacında doğru seçim.

tRPC: full-stack TypeScript projelerinde en hızlı yol. End-to-end tip güvenliği; SDK generation gerekli değil çünkü TypeScript kendisi.

Resource-based URL'ler (REST) veya schema-first design (GraphQL), tutarlı naming convention, pagination, filtering, sorting standardizasyonu, error format tutarlıligi (RFC 7807 problem details), versioning stratejisi (URL path veya header).

Bu prensipler 'detail' değil, API'nin 5-10 yıllık kullanımını belirler. Yanlış tasarlanmış API ileride breaking change ile düzeltilmek zorunda kalır; bu kullanıcılarınızı rahatsız eder.

API auth seçenekleri: OAuth 2.0 (third-party erişimi), API key (server-to-server), JWT (kullanıcı-bazında short-lived), session-based (browser-bazında). Kararı kullanım case'ine göre alıyoruz.

Rate limiting (per-user, per-IP, per-endpoint), CORS doğru konfigürasyon, input validation (Zod), SQL injection prevention, secrets rotation — güvenliğin temel parçası.

API'nin başarısı developer experience'e bağlı. OpenAPI 3 (REST) veya GraphQL schema (GraphQL) ile auto-generated dokümantasyon. Swagger UI / GraphQL Playground / tRPC docs ile interactive dokümantasyon.

SDK generation (TypeScript, Python, Go) otomatik. Postman collection, code samples, getting started guide — hepsini standart paketin parçası.