Segurança
A API implementa múltiplas camadas de segurança para proteger seus dados.
Criptografia de Senhas
Senhas são hashadas com algoritmo seguro antes de serem armazenadas. Nunca são salvas em texto puro.
Autenticação JWT
Tokens assinados com chave secreta. Access token e refresh token com rotação automática.
Proteção contra Brute Force
Tentativas de login são monitoradas. Após exceder o limite, a conta é temporariamente bloqueada.
Rate Limiting
Limites de requisição por IP para evitar abusos. Diferentes limites para diferentes tipos de rota.
Proteção contra XSS
Todas as entradas de texto são sanitizadas automaticamente.
Proteção contra SQL Injection
Todas as queries são parametrizadas. Dados do usuário nunca são interpolados diretamente.
Validação de Entrada
Todos os dados enviados são validados. Campos não esperados são rejeitados.
CORS Configurado
Apenas origens autorizadas podem fazer requisições à API.
Headers de Segurança
Headers HTTP de segurança são aplicados em todas as respostas (HSTS, CSP, etc.).
Auditoria
Operações de escrita são registradas para fins de auditoria e rastreamento.
Rastreamento de Requisições
Cada requisição recebe um ID único para facilitar debugging e suporte.
Boas Práticas para Consumidores da API
- ✓Nunca exponha sua API Key ou tokens em código frontend público
- ✓Use HTTPS em produção para todas as requisições
- ✓Armazene API Keys de forma segura (variáveis de ambiente, vault, etc.)
- ✓Revogue API Keys comprometidas imediatamente
- ✓Use senhas fortes que atendam aos requisitos mínimos
- ✓Implemente tratamento de erros 401/403 para renovar tokens automaticamente
Conformidade