Boas práticas¶
Seguem listadas algumas boas práticas para uso da API de Gestão.
Divisão do controle de acesso do sistema em perfis e transações
Os perfis devem corresponder às personas (ou atores) do seu sistema.
As transações devem corresponder às operações que os usuários podem realizar no seu sistema.
Granularidade das transações
Seja pragmático. Dimensione a granularidade das transações conforme a real necessidade de segregação de acesso do seu sistema.
Por exemplo, se todos os usuários com acesso a um determinado caso de uso conseguem acessar todas as funcionalidades do caso de uso, é mais coerente ter uma única transação para esse caso de uso.
Dicas de nomenclatura
Seja sucinto ao nomear suas transações e perfis.
Deixe para entrar em maiores detalhes nas descrições.
Evite usar acentos ou símbolos nos nomes, para evitar problemas de codificação no uso das informações.
Sequência de cadastro sugerida
- Cadastro das transações
- Cadastro dos perfis
- Vinculação das transações aos perfis
- Vinculação dos perfis aos usuários
Chamadas aos serviços de vinculação
Seja comedido ao utilizar os serviços de vinculação, que recebem arrays como entrada.
Passe arrays com dezenas de registros, mas evite passar arrays com centenas deles.
Expiração do token
Controle o tempo de expiração do token, de tal maneira a solicitar automaticamente outro quando o atual expirar.
URLs do Autoriza
Além da já citada senha, também evite fixar no código as URLs dos endpoints do Autoriza.
Lembre que essas URLs não estão sob sua gestão e podem ser modificadas.
Quanto mais simples de alterá-las na sua aplicação, menor o impacto.
Verificação de conectividade
🔒 O Autoriza utiliza certificado Let's Encrypt, então verifique se a máquina a partir da qual você está tentando se conectar à API aceita a cadeia de certificação do Let's Encrypt.
Faça isso utilizando os exemplos de comando cURL listados nessa documentação.
Os certificados são renovados trimestralmente.
Consultoria com a equipe de sustentação
✉️ Leia a documentação disponível, veja os exemplos de chamadas à API, faça testes locais.
A referência deveria ser suficiente para sanar suas dúvidas em relação aos serviços.
Se ela não está sendo suficiente, nos informe, para que possamos melhorá-la. Faça isso enviando email para a lista lista-autorizagovbr@serpro.gov.br, com o assunto Sugestão de melhoria para a API de Gestão.
Uso dos ambientes
🖇️ Seus ambientes não produtivos devem apontar para o ambiente de Homologação do Autoriza.
O ambiente produtivo deve apontar para o ambiente de Produção.
Não aponte ambientes de teste ou homologação para Produção do Autoriza.