Assinaturas HMAC e criptografia de consultas
Com o HMAC, cada lado (cliente e servidor) confirma que a solicitação foi criada por uma parte autorizada, não foi alterada no caminho e tem conteúdo criptografado.
O que foi implementado
| Mecanismo | Atribuição e vantagens |
|---|---|
| Assinaturas HMAC | Assinatura de cada solicitação usando chave secreta |
| Controle de integridade | Verificar que o conteúdo não foi alterado durante a transferência |
| Criptografia corporal de solicitação | Uso de AES ou RSA para proteger dados confidenciais |
| Assinatura com timestamp's | Proteção contra ataques repetidos e adiados (replay attack) |
| Assinar parâmetros de consulta | Validade query string e payload através da função hash |
Como funciona
1. O cliente forma o corpo da solicitação e adiciona timestamp
2. Calculado HMAC (por exemplo, SHA256) baseado em segredo e conteúdo
3. A assinatura é adicionada ao cabeçalho (por exemplo, 'X-Mensagem')
4. O servidor verifica a assinatura, o temporizador e o IP válido
5. Se a assinatura corresponder, a solicitação será executada, senão rejeitada
Benefícios para as integrações de API
Proteção contra troca ou distorção de solicitação
Interação segura sem TLS (em redes fechadas)
Aumentar a confiança no canal de dados
Independente de uma plataforma ou idioma específico
Implementação flexível para diferentes tipos de clientes: caixa, gateway, provedores
Onde é particularmente importante
Integração com sistemas de pagamento, caixa ou impostos
API que funcionam em ambientes multirradicais ou associados
Sistemas com maiores requisitos de verificação de solicitações
Interação entre serviços internos sem autorização permanente
A assinatura HMAC e a criptografia são o seu castelo de API para falsificação e interferência. Esses mecanismos permitem uma integração confiável, mesmo com maiores requisitos de segurança.
Contactar-nos
Preencha o formulário abaixo e responderemos o mais rapidamente possível.