Restringir acesso aos endpoints
Essa issue deve ser testada e ir para produção em conjunto com sua respectiva do API Dados SIAFI
- issue contratos#1056 (closed)
Origem
Durante discussão com @poboxpontes e @anneckd sobre acesso e segurança das aplicações
Descrição
Como responsável pelo projeto e dados
Quero restringir o acesso aos end-points
Para que impossibilite consultas para fim de evitar acesso a informações sensíveis e sobrecarga da aplicação e banco de dados
Hoje as APIs do STA são acessadas pelo Contratos v1 com rotinas que rodam às 02h00 que consultam dados (Ex: Empenhos, Saldos Contábeis, etc) para migrar para sua base de dados. E algumas consultas on-line disparadas ao longo do dia durante o uso do Contratos.
A API do STA está aberta para internet (Ex: https://sta.api.gov.br/api/saldocontabil/ano/2024/ug/110161/gestao/00001/contacontabil/622110000) e qualquer pessoa, alterando os parâmetros pode realizar chamadas que acabam consumindo recursos de hardware e rede para prover os dados que podem ser sensíveis.
Para restringir acessos desconhecidos, a intenção é disponibilizar uma autenticação para consumir os serviços mediante usuário e senha previamente cadastrados. Uma sugestão é implantar essa autenticação por JWT, padrão já utilizado nos outros projetos para APIs.