IMAP vs OAuth — HR alətləri üçün hansını seçmək?

HR sistemi bir email qutusuna qoşularkən iki yol var:

• IMAP — istifadəçi sistemə email parolunu (və ya app password) verir
• OAuth — istifadəçi Google/Microsoft-da icazə pəncərəsindən "razı" deyir, parol verilmir

İlk baxışdan OAuth daha "təhlükəsiz" görünür, amma reallıq fərqlidir. Bu məqalədə hər ikisini müqayisə edək.

IMAP — parol əsaslı

Necə işləyir:

1. HR sistemə email + IMAP parolu daxil edir
2. Sistem parolla email serverə qoşulur
3. Gələn email-ləri oxuyur

Üstünlüklər:

• İstənilən provayder işləyir (Yandex, Zoho, cPanel, Hostinger, fərqi yox)
• Konfiqurasiya sadədir — host + port + parol
• Servisdən asılı deyil

Mənfilər:

• Parol bazada saxlanır (lakin şifrələnmiş halda)
• İstifadəçi parolu dəyişəndə yenidən qoşma lazımdır

OAuth — icazə əsaslı

Necə işləyir:

1. HR Google "Sign in" pəncərəsinə yönləndirilir
2. "Bu sistem email-imi oxusun mu?" sualına razılıq verir
3. Sistem Google-dan token alır, parol görmür

Üstünlüklər:

• Parol heç vaxt sistemə gəlmir
• İstifadəçi istənilən vaxt Google-dan icazəni geri ala bilər
• 2FA istifadə oluna bilər

Mənfilər:

• Yalnız Google, Microsoft kimi nəhəng provayderlərdə işləyir
• Azərbaycan-da çoxlu HR Yandex və ya cPanel istifadə edir — OAuth yoxdur
• Google verification prosesi 6+ ay çəkir, ödənişlidir
• API-nın limitləri sərtdir (Google Workspace 1 GB/saat, və s.)

Recrutio niyə IMAP seçdi?

Sadəcə real bazara baxdıq. Azərbaycan kiçik-orta şirkətlərinin email durumu:

• ~40% cPanel (öz domen, məs. hr@şirkət.az)
• ~25% Yandex Yandex Business
• ~15% Zoho Mail
• ~15% Microsoft 365 / Outlook
• ~5% Gmail / Google Workspace

Yəni 95% istifadəçi üçün OAuth yoxdur və ya çox məhduddur. Bütün bu provayderlər IMAP-ı dəstəkləyir.

İkinci səbəb: OAuth verification prosesi. Google "Restricted scope" üçün ödənişli auditdən keçmək tələb edir — bu kiçik startup üçün $5000-15000 və 6+ aydır. Bizim həll yetkin olana qədər real istifadəçi xidmət gözləyə bilmir.

Təhlükəsizlik məsələsi

IMAP parolun saxlanması "təhlükəli" görünür, amma:

1. Parol application-key ilə şifrələnir — bazaya kim baxsa belə oxuya bilmir
2. Yalnız müəyyən serverdən bu açar ilə decrypt edilə bilər
3. Bazaya çıxış yalnız bizim DevOps-da var
4. Real risk SQL injection və ya server kompromisindədir — bu OAuth-da da problem olardı (token-i da oğurlamaq olar)

App password (Yandex, Zoho-da) əlavə qat verir — adi parol kompromis olarsa app password ayrı dəyişə bilərsiniz.

Yekun

IMAP Azərbaycan iş bazarı üçün düzgün seçimdir. OAuth gözəl texnologiyadır, amma 95% istifadəçi üçün yoxdur. Recrutio yetkinləşdikcə OAuth dəstəyi də əlavə olunacaq (xüsusən M365 üçün), amma IMAP əsas qalacaq.

Sənin email-in cPanel/Yandex/Zoho-dadırsa — heç bir problem yoxdur. Sadəcə qoşulun, sistem işə düşür.