A integração API exige não apenas o controle de acesso, mas também a garantia de autenticidade e integridade de cada solicitação. Para isso, mantemos assinaturas HMAC (Hash-based Mensagem de Código Autêntico), além de criptografia corporal e configurações de solicitação, garantindo a proteção dos dados, mesmo quando transmitidos através de redes abertas.
Com o HMAC, cada lado (cliente e servidor) confirma que a solicitação foi criada por uma parte autorizada, não foi alterada no caminho e tem conteúdo criptografado.
O que foi implementado
| Mecanismo | Destino e vantagens |
|---|---|
| Assinaturas HMAC | Assinar cada solicitação usando uma chave secreta |
| Controle de integridade | Verificar se o conteúdo não foi alterado durante a transferência |
| Criptografia do corpo da consulta | Usar AES ou RSA para proteger dados confidenciais |
| Assinar com timestamp's | Proteção contra ataques repetidos e adiados (replay attack) |
| Assinar parâmetros de consulta | Validação query string e payload através da função hash |
Como funciona
1. O cliente forma o corpo da solicitação e adiciona timestamp
2. Calculado HMAC (por exemplo, SHA256) baseado em segredo e conteúdo
3. A assinatura é adicionada ao cabeçalho (por exemplo, 'X-Mensagem')
4. O servidor verifica a assinatura, o temporizador e o IP válido
5. Se a assinatura corresponder, a solicitação será executada, senão rejeitada
Benefícios para as integrações de API
Proteção contra troca ou distorção de solicitação
Interação segura sem TLS (em redes fechadas)
Aumentar a confiança no canal de dados
Independente de uma plataforma ou idioma específico
Implementação flexível para diferentes tipos de clientes: caixa, gateway, provedores
Onde é particularmente importante
Integração com sistemas de pagamento, caixa ou impostos
API que funcionam em ambientes multirradicais ou associados
Sistemas com maiores requisitos de verificação de solicitações
Interação entre serviços internos sem autorização permanente
A assinatura HMAC e a criptografia são o seu castelo de API para falsificação e interferência. Esses mecanismos permitem uma integração confiável, mesmo com maiores requisitos de segurança.