EPİAŞ, sistem güvenliğini artırmak ve yoğun trafiği dengelemek amacıyla CAS Token taleplerine yönelik kullanıcı ve IP bazlı kısıtlama kararını duyurdu.
Enerji Piyasaları İşletme AŞ (EPİAŞ), piyasa katılımcılarının Kimlik Doğrulama Servisi (CAS) sistemine yaptığı erişimlerde belirli limitlerin uygulanacağını açıkladı. 23 Temmuz 2025 saat 09.00 itibarıyla devreye alınacak yeni uygulama ile birlikte, hem kullanıcı hem de IP bazında token alma taleplerine sınır getiriliyor. Bu adım, sistem performansını korumak ve kötüye kullanımı önlemek amacıyla atıldı.
Yeni düzenleme kapsamında CAS TGT (Ticket Granting Ticket) Alma Servisi ve CAS ST (Service Ticket) Alma Servisi için farklı limitler belirlendi. TGT alma servisinde kullanıcı başına dakikada 100, IP bazında ise dakikada 1000 istek sınırı getirildi. Aynı zamanda saniyelik “burst” limitler ile ani trafik patlamaları da engellenecek. Limit aşımı durumunda 30 saniyelik erişim engeli uygulanacak ve kullanıcıya “429 – Client is banned for a while” hatası dönecek.
Öte yandan hatalı kullanıcı adı ya da şifre ile yapılan isteklerde daha hassas bir politika uygulanacak. 10 saniyede 5 hatalı istek yapılması durumunda ilgili kullanıcı 60 saniye boyunca bloklanacak ve “403 – Client is banned for a while” hatası alınacak.
ST alma servisinde ise daha yüksek erişim limitleri tanımlandı. Kullanıcı bazında dakikada 1500, IP bazında ise dakikada 5000 isteğe izin verilecek. Benzer şekilde hatalı TGTId ile yapılan isteklerde 30 saniyelik erişim engeli uygulanacak.
EPİAŞ, sistemin sağlıklı işlemesini temin etmek adına bu limitlerin gerektiğinde güncellenebileceğini ve yeni bilgilendirmeler yapılacağını da belirtti. Söz konusu uygulama ile kullanıcılar arasında eşitlik sağlanması ve sistemde aşırı yoğunluk oluşturan erişimlerin önüne geçilmesi hedefleniyor.
