Linha Datasul

Árvore de páginas


01. DADOS GERAIS

Produto:

TOTVS Manufatura

Linha de Produto:

Linha Datasul

Segmento:

Tecnologia

Módulo:Framework
Função:API REST
País:Brasil
Ticket:
Requisito/Story/Issue (informe o requisito relacionado) :DFWKTOOLS-4877


02. SITUAÇÃO/REQUISITO

Atualmente o acesso aos endpoints validam somente se o usuário possui acesso ao login do produto, não sendo validado seus respectivos grupos de segurança.

03. SOLUÇÃO

Foi implementado um controle de acesso aos endpoints por grupo de usuários.


Efetue o cadastro da API REST no cadastro de programas, sendo o campo "Nome Externo" com a referencia da URL do endpoint

Exemplo: 

URL: http://<SERVIDOR>:<PORTA>/api/btb/v1/properties

Nome Externo: api/btb/v1/properties

Importante

Formatos deste exemplo segue o template:

"{protocolo}://{host}/{api}/{modulo}/{versao}/{recurso}"


A segurança do endpoint não considera os possíveis "Path Parameters" enviados na URL.

Para o exemplo acima, todos os parâmetros enviados após o /properties, seguirão as mesmas regras de segurança da URL "principal".

Na prática significa que as URLs com parâmetros apresentadas abaixo serão autorizadas ou bloqueadas mediante ao cadastro anterior.

URL: http://<SERVIDOR>:<PORTA>/api/btb/v1/properties/email

URL: http://<SERVIDOR>:<PORTA>/api/btb/v1/properties/fluig

URL: http://<SERVIDOR>:<PORTA>/api/btb/v1/properties/access

...


Para mais detalhes quanto a definição das URLs, consultar o Guia API TOTVS: https://tdn.totvs.com/x/nDUxE

Na aba Opções, selecione o tipo de Template API REST

Efetue a configuração do(s) grupo(s) de segurança desejados

Será permitido o acesso caso o usuário que efetuou a autenticação ao endpoint possua o mesmo grupo que foi configurado anteriormente

  • Caso seja permitido o acesso, será retornado o HTTP Status 200 com o resultado da requisição
  • Caso o acesso não seja permitido, será retornado o HTTP Status 403


04. DEMAIS INFORMAÇÕES

  • Esta Issue complementa a implementação da validação de segurança dos endpoints iniciada em DFWKTOOLS-4370.
  • A validação de segurança somente será realizada caso possua um endpoint cadastrado nos programas citados anteriormente. Caso não possua o cadastro, o acesso é permitido por padrão.

05. ASSUNTOS RELACIONADOS