Segurança de Requisições na API - apiKey

Owned by Ranniêr Reis
Last updated: ago. 10, 2023
2 min read

O OmmiLink oferece uma camada adicional de segurança por meio do parâmetro "apiKey". Essa funcionalidade permite que os desenvolvedores gerem chaves de acesso exclusivas e as utilizem para autenticar suas requisições à API. Ao incluir a chave válida no campo "apiKey" do cabeçalho da requisição, o Omnilink verifica a autenticidade da requisição e concede acesso aos recursos protegidos pela API.

Como obter uma apiKey?

Para obter uma apiKey, é necessário gerar uma chave/hash e coloca-los no cabeçalho das requisições para as API criadas pelo OmniLink (Login, Boletos e etc).

Algumas ótimas opções para gerar estas chaves são:

  1. bcrypt: É uma biblioteca de criptografia de senhas que utiliza o algoritmo bcrypt, que é lento e resistente a ataques de força bruta. Ela é amplamente utilizada para armazenar senhas de forma segura, mas também pode ser usada para gerar hashes para chaves API.

  2. SHA-256 ou SHA-512: São funções de hash criptográficas amplamente conhecidas e utilizadas.

É possível vincular uma apiKey diferentes para cada um dos módulos, ou seja:

  • Definir uma apiKey para o módulo de Autenticação

  • Definir uma apiKey para o módulo de Débitos

E para todos e para todos os módulos disponíveis no OmniLink

Inclusão da apiKey nas Requisições

Uma vez que tenha definido sua apiKey, ela deve ser adicionada a todas as requisições feitas à API. Exemplo de como incluir a chave nas requisições:

  • Na integração de login vamos colocar nossa apiKey no cabeçalho da requisição

Parâmetros sendo passado pelo cabeçalho da requisição

Este processo deve ser realizado em todas os métodos que foi definido a apiKey como por exemplo na

  • “Autenticação” deve ser passado nos métodos de “login”, “Reiniciar Senha”, “Trocar Senha” e etc..

  • “Débitos” deve ser passado nos métodos de “listarDébitos”, “detalheDébitos” e etc..

Segurança e Melhores Práticas

Para garantir a segurança da API e das informações dos usuários, é crucial seguir algumas melhores práticas:

  • Confidencialidade da apiKey: A apiKey é como uma senha e deve ser mantida confidencial. Não deve ser compartilhada publicamente ou transmitida sem criptografia.

  • HTTPS: Sempre utilize HTTPS para todas as requisições, para criptografar os dados, incluindo a apiKey, durante a transmissão.

Ao seguir essas orientações, a utilização do parâmetro "apiKey" fortalece a segurança da API automatizada, garantindo que apenas usuários autenticados e autorizados possam acessar recursos protegidos.

 

Mobile Saúde - Mosia Omnichannel