Apidog

Plataforma Colaborativa All-in-one para Desenvolvimento de API

Design de API

Documentação de API

Depuração de API

Mock de API

Testes Automatizados

Cadastre-se gratuitamente
BaixarPara Mac ou Linux
Home

/

Esquemas de Segurança: Otimize a Autenticação de API

Esquemas de Segurança: Otimize a Autenticação de API

@apidog

@apidog

Updated on abril 29, 2025

No cenário em rápida evolução do desenvolvimento de APIs, a segurança não é apenas um recurso—é uma necessidade fundamental. Proteger seus endpoints contra acessos não autorizados é primordial, mas gerenciar a autenticação de forma consistente em vários endpoints e com diversos membros da equipe pode se tornar complexo e propenso a erros. Métodos tradicionais frequentemente envolvem configurações repetitivas para cada endpoint, levando a inconsistências e vulnerabilidades potenciais. Reconhecendo esse desafio, a Apidog está entusiasmada em anunciar o lançamento do novo Recurso de Esquemas de Segurança, projetado para simplificar e padronizar como você gerencia a autenticação e autorização de APIs dentro desta plataforma de desenvolvimento de API tudo-em-um.

Esta poderosa nova capacidade permite que você defina templates de autenticação reutilizáveis com base diretamente na Especificação OpenAPI (OAS), garantindo conformidade e interoperabilidade, enquanto simplifica drasticamente seu fluxo de trabalho. O que são esquemas de segurança, como eles se alinham com as especificações OpenAPI, e como você pode aproveitar os recursos de esquemas de segurança na Apidog para fortalecer suas APIs? Mergulhe neste guia abrangente para entender e dominar este aspecto essencial da gestão moderna de segurança de APIs.

botão

O que são Esquemas de Segurança de acordo com as Especificações OpenAPI?

Antes de mergulharmos na implementação da Apidog, vamos esclarecer: o que são esquemas de segurança? No contexto da Especificação OpenAPI (OAS) 3.0, o termo "esquema de segurança" se refere a uma definição do método específico usado para autenticar ou autorizar solicitações a um endpoint. Pense nisso como um projeto ou template que descreve como a autenticação funciona, em vez dos credenciais específicas (como uma chave API real ou senha) utilizadas.

A OpenAPI define vários tipos padrão para esquemas de segurança:

1. http: Abrange mecanismos de autenticação HTTP padrão, usando o cabeçalho Authorization. Isso inclui:

  • Autenticação Básica: Autenticação por Nome de Usuário/Senha.
  • Autenticação Bearer: Usando tokens (como JWTs) prefixados com "Bearer ".

2. Outros esquemas registrados no Registro de Esquema de Autenticação HTTP.

  • apiKey: Para chaves API passadas em cabeçalhos de requisição, parâmetros de consulta ou cookies.
  • oauth2: Para a amplamente adotada estrutura de autorização OAuth 2.0, suportando vários fluxos (Código de Autorização, Credenciais do Cliente, etc.).
  • openIdConnect: Para autenticação usando OpenID Connect Discovery.

O princípio fundamental definido pelas especificações OpenAPI é um processo de duas etapas:

  1. Definir: Todos os possíveis esquemas de segurança que sua API pode usar são definidos globalmente na seção components/securitySchemes do seu documento OpenAPI. Cada esquema recebe um nome e é configurado de acordo com seu type (por exemplo, especificando scheme: basic para type: http, ou definindo in: header e name: X-API-Key para type: apiKey).
  2. Aplicar: Uma vez definidos, esses esquemas nomeados são aplicados a toda a API (globalmente) ou a operações específicas usando a palavra-chave security. Esta palavra-chave especifica quais esquemas definidos são necessários para acesso, incluindo potencialmente escopos exigidos do OAuth 2.0.

Essa abordagem separa a definição do método de autenticação (o esquema) de sua aplicação e os credenciais específicas utilizadas, promovendo consistência, reutilização e clareza na sua definição de API. O recurso de Esquema de Segurança da Apidog abraça esse padrão, trazendo uma gestão de segurança robusta e em conformidade com especificações diretamente para seu fluxo de trabalho de desenvolvimento.

Por que Utilizar os Recursos de Esquemas de Segurança na Apidog?

Implementar esquemas de segurança na Apidog oferece vantagens significativas em relação à configuração manual de autenticação para cada requisição ou endpoint individualmente. Isso alinha seu fluxo de trabalho às melhores práticas das especificações OpenAPI e proporciona benefícios tangíveis para desenvolvedores individuais e equipes:

  1. Defina uma vez, reutilize em toda parte: Este é o benefício fundamental. Crie um esquema de segurança (por exemplo, para autenticação por Token Bearer) uma vez. Você pode então aplicar esse esquema facilmente a dezenas ou centenas de endpoints ou pastas inteiras com apenas alguns cliques. Isso reduz drasticamente a configuração repetitiva e garante consistência.
  2. Separação Clara de Preocupações: Esquemas de segurança separam claramente a definição do método de autenticação (o template, como "use uma chave API no cabeçalho chamada 'X-API-Key'") dos valores de credenciais reais (a string específica da chave). Isso facilita a manutenção – se um método de autenticação mudar (por exemplo, nome do cabeçalho), você atualiza o esquema em um lugar. As credenciais podem ser gerenciadas separadamente, frequentemente por ambiente, sem alterar a definição fundamental do esquema.
  3. Segurança Aprimorada & Redução de Vazamentos: Como o esquema é separado do valor, as credenciais padrão definidas dentro da Apidog para depuração não são automaticamente expostas ou utilizadas ao testar a partir da documentação online publicada. Os usuários que depuram via documentação devem inserir manualmente as credenciais, prevenindo vazamentos acidentais de chaves ou tokens sensíveis através de documentos compartilhados.
  4. Colaboração Simplificada: As equipes se beneficiam imensamente. Uma biblioteca de esquemas de segurança gerenciada centralmente garante que todos usem os mesmos métodos de autenticação aprovados, reduzindo erros de configuração e padronizando práticas de segurança.
  5. Herança Automática: Aplique um esquema de segurança a uma pasta, e todos os endpoints dentro dessa pasta automaticamente herdarão a configuração, a menos que explicitamente substituído. Essa abordagem hierárquica simplifica a configuração para grandes APIs com requisitos de segurança comuns entre seções.
  6. Conformidade Completa com OpenAPI: Ao usar os recursos de esquemas de segurança da Apidog, suas definições de API permanecem totalmente em conformidade com os padrões da Especificação OpenAPI, garantindo interoperabilidade e geração precisa de documentação.
  7. Integração com o Fluxo de Trabalho da Apidog: Esquemas de segurança na Apidog estão integrados com recursos principais como branches de sprint, versionamento e histórico de mudanças. Isso significa que você pode gerenciar a evolução da segurança da sua API juntamente com suas mudanças funcionais, rastrear modificações e trabalhar de maneira segura dentro de branches de recursos.

A adoção de esquemas de segurança na Apidog não é apenas sobre seguir uma especificação; é sobre implementar uma abordagem mais robusta, eficiente, segura e sustentável para a gestão de autenticação de APIs.

Como Criar Esquemas de Segurança na Apidog

A Apidog torna a definição e configuração de esquemas de segurança intuitiva, alinhando-se de perto aos conceitos delineados nas especificações OpenAPI. Você pode criar esses templates reutilizáveis manualmente ou aproveitar a criação automática ao importar documentos OpenAPI existentes.

Método 1: Criando Esquemas de Segurança Manualmente

1. Navegar: No seu projeto Apidog, vá até a seção Components na barra lateral esquerda e selecione Security Schemes.

2. Novo Esquema: Clique no botão + New Security Scheme.

criando esquemas de segurança manualmente

3. Selecionar Tipo: Escolha o tipo de autenticação que você precisa definir da extensa lista da Apidog, que espelha e expande os tipos principais do OAS:

  • Chave API (Cabeçalho, Consulta, Cookie)
  • Token Bearer (Authorization: Bearer ...)
  • JWT (Token Web JSON específico)
  • Autenticação Básica (Usuário/Senha)
  • Autenticação Digest
  • OAuth 2.0 (Suportando múltiplos tipos de concessão)
  • E outros como OAuth 1.0, Hawk, AWS Signature, Kerberos, NTLM, Akamai EdgeGrid, ou até mesmo Custom.
tipos de suporte de esquema de segurança na Apidog

4. Configurar: Preencha os detalhes necessários com base no tipo selecionado. Isso inclui:

  • Nome: Um nome descritivo para o seu esquema (por exemplo, MainApiKeyHeader, PetStoreOAuth).
  • Configurações Específicas do Tipo: Para API Key, especifique In (cabeçalho, consulta) e Name (o nome do cabeçalho/consulta). Para OAuth 2.0, configure Tipos de Concessão, URLs (Auth, Token, Refresh) e defina os Escopos disponíveis.

5. Salvar: Clique em Save. Seu esquema de segurança reutilizável agora está disponível.

salvar novo esquema de segurança

Configuração Avançada do OAS:

Dentro do editor de esquemas, você pode clicar em Advanced Configuration para visualizar e editar diretamente a representação JSON ou YAML subjacente em conformidade com as especificações OpenAPI. Isso permite o ajuste fino ou a definição de configurações mais complexas, se necessário.

Configuração Avançada do OAS

Método 2: Importando via OAS

Se você importar um arquivo OpenAPI (.json ou .yaml) que já contém definições em components/securitySchemes, a Apidog irá automaticamente analisar esses e criar os correspondentes esquemas de segurança dentro da biblioteca de Componentes do seu projeto, prontos para que você os aplique.

Ao fornecer tanto uma interface amigável quanto capacidades de edição direta do OAS, a Apidog facilita como usar os recursos de esquemas de segurança de forma eficaz, independentemente da sua familiaridade com as especificações OpenAPI.

Utilizando Esquemas de Segurança no Seu Fluxo de Trabalho da Apidog

Uma vez que você definiu seus esquemas de segurança na biblioteca de Componentes da Apidog, aplicá-los para controlar o acesso a seus endpoints é simples e flexível. É aqui que o poder da reutilização e padronização realmente brilha.

Aplicando Esquemas de Segurança:

Você pode aplicar esquemas de segurança em dois níveis:

Nível de Pasta:

  • Selecione uma pasta na estrutura da sua API.
  • Navegue até a aba Auth no painel à direita.
  • Escolha Security Scheme como o tipo de autenticação.
esquemas de segurança no nível da pasta
  • Selecione o(s) esquema(s) desejado(s) na lista suspensa criada anteriormente.
escolha o tipo de esquema de segurança
  • Se aplicando OAuth 2.0, você pode selecionar os escopos requeridos padrão para endpoints dentro dessa pasta.
configuração de escopo OAuth 2.0

Benefício: Todos os endpoints e subpastas dentro desta pasta irão herdar automaticamente este esquema de segurança, a menos que sobreposto. Isso é perfeito para seções da sua API com necessidades de autenticação uniformes.

Nível de Endpoint:

  • Selecione um endpoint específico.
  • Vá para a aba Edit, encontre a seção Request, e selecione a aba Auth dentro dela.
  • Escolha Security Scheme como o tipo.
esquema de segurança no nível do endpoint
  • Selecione o(s) esquema(s) desejado(s).
Selecione o esquema desejado
  • Para OAuth 2.0, defina precisamente os escopos específicos requeridos para esta operação em particular.
defina os escopos específicos para OAuth 2.0

Benefício: Configurações em nível de endpoint sobrepõem quaisquer configurações herdadas da pasta pai, permitindo controle granular para operações com requisitos de segurança únicos.

Gerenciando Valores de Autenticação:

Lembre-se, o esquema de segurança define o método, não o valor. Ao depurar:

  • Valores de Auth Padrão: Para conveniência durante o desenvolvimento e testes dentro da Apidog, você pode definir valores de credenciais padrão para um esquema dentro das configurações de Auth de uma pasta ou endpoint (por exemplo, inserindo uma chave API de teste ou obtendo um token OAuth 2.0 padrão). Esses padrões são usados automaticamente quando você clica em "Enviar" na Apidog para endpoints que os herdam.
  • Herança vs. Personalização: Ao depurar, a seção Auth da aba Run de um endpoint mostrará se está herdando valores de um pai ou se os valores estão definidos manualmente para aquela execução específica. Você pode optar por usar o padrão herdado ou substituí-lo temporariamente para uma única requisição.
usar esquema de segurança na Apidog
  • Depuração de Documentação Online: Como mencionado, valores padrão definidos dentro da Apidog não são automaticamente preenchidos ao depurar a partir da documentação online. Os usuários devem inserir manualmente as credenciais na seção Auth do painel "Experimente" para proteção de segurança.
Depurando endpoints usando esquema de segurança na documentação online

Ao dominar como usar os recursos de esquemas de segurança na Apidog, você aproveita as melhores práticas da especificação OpenAPI para criar um ambiente de desenvolvimento de API mais organizado, seguro, sustentável e colaborativo.

Conclusão: Eleve Sua Segurança de API com os Esquemas de Segurança da Apidog

Gerenciar efetivamente a segurança da API é inegociável no desenvolvimento moderno de software. Os Esquemas de Segurança da Apidog fornecem uma solução robusta, padronizada e eficiente, alinhando-se diretamente às melhores práticas da Especificação OpenAPI. Ao entender o que são esquemas de segurança – templates reutilizáveis que definem métodos de autenticação como Chave API, Token Bearer, Autenticação Básica e OAuth 2.0 – os desenvolvedores podem se afastar de configurações de nível de endpoint propensas a erros e repetitivas.