A integração API exige não apenas o controle de acesso, mas também a garantia de autenticidade e integridade de cada solicitação. Para isso, mantemos assinaturas HMAC (Hash-based Mensagem de Código Autêntico), além de criptografia corporal e configurações de solicitação, garantindo a proteção dos dados, mesmo quando transmitidos através de redes abertas.
Com o HMAC, cada lado (cliente e servidor) confirma que a solicitação foi criada por uma parte autorizada, não foi alterada no caminho e tem conteúdo criptografado.
O que foi implementado
| Mecanismo | Destino e vantagens |
|---|---|
| Assinaturas HMAC | Assinar cada solicitação usando uma chave secreta |
| Controle de integridade | Verificar se o conteúdo não foi alterado durante a transferência |
| Criptografia do corpo da consulta | Usar AES ou RSA para proteger dados confidenciais |
| Assinar com timestamp's | Proteção contra ataques repetidos e adiados (replay attack) |
| Assinar parâmetros de consulta | Validação query string e payload através da função hash |
Como funciona
1. O cliente forma o corpo da solicitação e adiciona timestamp
2. Calculado HMAC (por exemplo, SHA256) baseado em segredo e conteúdo
3. A assinatura é adicionada ao cabeçalho (por exemplo, 'X-Mensagem')
4. O servidor verifica a assinatura, o temporizador e o IP válido
5. Se a assinatura corresponder, a solicitação será executada, senão rejeitada
Benefícios para as integrações de API
Proteção contra troca ou distorção de solicitação- Interação segura sem TLS (em redes fechadas)
- Aumentar a confiança no canal de dados
- Independente de uma plataforma ou idioma específico
- Implementação flexível para diferentes tipos de clientes: caixa, gateway, provedores
Onde é particularmente importante
Integração com sistemas de pagamento, caixa ou impostos- API que funciona em ambientes multirradicais ou parceiras
- Sistemas com maiores requisitos de verificação de solicitações
- Interação entre serviços internos sem autorização permanente
A assinatura HMAC e a criptografia são o seu castelo de API para falsificação e interferência. Esses mecanismos permitem uma integração segura, mesmo com exigências de segurança elevadas.
Temas populares
Temas principais
Contactar-nos
Preencha o formulário abaixo e responderemos o mais rapidamente possível.