01. DADOS GERAIS
| Produto: | TOTVS Varejo Franquias e Redes
|
|---|---|
| Linha de Produto: | PDV Sync |
| Segmento: | Varejo |
| Módulo: | PDVSync Server |
| Função: | Envio de Dados (Todos os micro serviços) |
| País: | Brasil |
| Ticket: | |
| Requisito/Story/Issue (informe o requisito relacionado) : | |
| Versão: | V2, V3 |
02. SITUAÇÃO/REQUISITO
Atualmente, o modelo de autenticação dos usuários nas APIs do PDV Sync ocorre de forma aberta. Ou seja, qualquer tenant com os perfis de acesso às APIs do PDV Sync configurados no RAC (PDVSync_Retaguarda, PDVSync_Server e PDVSync_Client) consegue acessar os dados de todos os clientes que utilizam o PDV Sync Server. Isso expõe os dados, tornando-os vulneráveis e sujeitos a uso indevido.
03. SOLUÇÃO
Foi implementado a validação de autenticação Tenant x Inquilino no PDVSync, garantindo segurança e integridade dos dados.
Foi adicionado o campo "Tenant Id" no cadastro de Inquilinos no FrontEnd, para a configuração do Tenant Id correto para cada cliente.
Com essa validação, qualquer inquilino com o tenant diferente do que ele está cadastrado, será impedido de utilizar as APIs do PDV Sync Server (Client/Server/Retaguarda).
Exemplo das APIs V2 ao utilizar um inquilino com o tenant Id incorreto
Exemplo das APIs V3 ao utilizar um inquilino com o tenant Id incorreto
OBS.: Para os inquilinos com o tenant id não configurado, o acesso está ocorrendo normalmente como antes, porém por tempo indeterminado, até que todos os clientes configurem seus tenants de autenticação, da forma correta no Frontend.
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas