UTRBUS

Appearance

Segurança

Autenticação e Autorização

O sistema utiliza JWT (JSON Web Tokens) para autenticação, gerenciado pelo passport-jwt.

  • Tokens são assinados com o SECRET definido nas variáveis de ambiente
  • Expiração configurável por ambiente
  • Permissões por usuário gerenciadas pelo módulo permission

Configurações de Segurança do Express

A API usa os seguintes middlewares de segurança:

  • helmet — Define headers HTTP de segurança
  • cors — Controle de Cross-Origin Resource Sharing
  • passport — Estratégia JWT para proteção de rotas

Boas Práticas

Variáveis de ambiente

Nunca faça commit do arquivo .env com credenciais reais. Use .env.example como template e gerencie secrets via gerenciador de segredos (AWS Secrets Manager, Vault, etc.).

  • O acme.json do Traefik deve ter permissão 600
  • O SECRET JWT deve ser uma string longa e aleatória (mínimo 32 caracteres)
  • MONGODB_URI nunca deve ser exposto em logs

Auditoria de Segurança

Para o relatório completo de auditoria, consulte o arquivo utrbus_api/SECURITY_AUDIT_REPORT.md no repositório.

Proprietário — Ultra Tecnologias. Todos os direitos reservados.