DEV Community

Francisco Zanfranceschi
Francisco Zanfranceschi

Posted on

[Desafio] - Gambiarra: API Pública Sem Segurança

Conteúdo original em https://twitter.com/zanfranceschi/status/1580700049817804801


Ei dev,

Às vezes a gambiarra não é culpa sua, é de quem demanda a feature/evolução das aplicações.

Pega esse desafio aqui que vai doer no seu coração. Além de você ficar mais gambiarra proof, você vai exercitar seu cárdio.

cc @sseraphini

Image


Imagina que você cuida duma API acessível via internet. Essa API usa um esquema de autorização via access token (JWT). Bem trivial.

Image


Aí, o seu diretor, que era de marketing e é metido a digital transformation facilitator e que só vai até a página dois de engenharia de software, vem com a seguinte demanda:

"A nossa API tem que TAMBÉM aceitar requisições sem aquelas coisa de access token..."


Ele continua...

"Ah, e esses clientes especiais vão passar uma identificação num header lá... aí vc autentica e valida esse header."

...e sai de férias pra Punta Cana.

Image


Você sabe que o cara é irredutível e não vai mudar de opinião sobre os riscos de segurança e lixo que está propondo.

O que você faz? Quais medidas você tomaria pra implementar isso pra que haja pelo menos uma diminuição dos riscos de segurança e sua API não se degrade tanto.


Vale usar recursos de infra, código, etc. – o que você quiser. O importante é pensar na gambiarra que vai ter que fazer pra satisfazer a demanda do Zé Ruela!

Conta aí pra gente sua solução! 🤭

Top comments (0)