Com a disseminação do uso de microserviços, vários aspectos de segurança em nossas APIs precisam ser repensados, pois um simples problema pode ser escalado a níveis preocupantes. Veremos sobre:
Conceitos de autenticação e autorização;
Melhores práticas no uso de access tokens;
Aplicação de throttling e rate limiting;
Camuflagem de IDs sequencias;
Criptografando e assinando a requisição para evitar tampering.
Como aplicar as melhores medidas para protegermos nossos sistemas em PHP, pensando em questões de segurança além dos exemplos mais comuns encontrados, que muitas vezes são resolvidos pelos próprios frameworks? Pontos que serão abordados: enumeração de usuários, gerenciamento de sessão, melhores práticas de validação de entradas, runtime application self-protection, armazenamento e políticas de senhas.
A libsodium é uma biblioteca moderna de criptografia e foi incluída no core do PHP 7.2, o que representa um posicionamento muito interessante da comunidade no quesito de segurança. Veremos como utilizar essa lib para:
Geração de dados aleatórios
Prevenção de timing attacks
Criptografia simétrica (secret key)
Criptografia assimétrica (par de chaves: pública e privada)
Hashing para autenticidade de mensagens e criação de senhas
SOLID, Object Calisthenics e Clean Code são termos que fazem parte da vida de um programador, mas é comum vermos que no dia-a-dia nem tudo sempre segue a teoria. Veremos como aplicar esses conceitos na prática mostrando trechos de códigos e exemplos de como refatorar o que já foi feito.
O PHP foi inicialmente feito para a Web, mas também podemos utilizá-lo para criar CLI scripts e até mesmo daemons. É lógico que existem linguagens focadas para isso, mas em alguns cenários podemos aproveitar os códigos PHP já existentes no backend e também a experiência dos programadores da equipe. Iremos ver como lidar com argumentos para scripts e roteá-los para comandos, como criar mecanismos de controle e execução de processos externos e em background e ter códigos que sejam reaproveitáveis entre ambientes.
Uma das partes mais básicas de um sistema é seu processo de login. E por ser algo que não agrega valor direto ao negócio, acabamos não gastando o tempo necessário para criar um fluxo realmente seguro, fazendo com que ele se torne o principal vetor de ataques de nossa aplicação. Iremos aprender como criar mecanismos seguros de autenticação, utilizando CSRF de forma correta, CAPTCHA, duplo fator de autenticação, prevenção à enumeração de usuários e autenticação em APIs. Veremos também diversas dicas de como implementar as arriscadas (mas muitas vezes necessárias) funções 'Permanecer logado' e 'Esqueci a senha'.
É comum nos depararmos com algumas dificuldades quando precisamos preparar nosso sistema para que ele seja escalável e de fácil manutenção, principalmente em arquiteturas de (micro)serviços.
O 12-Factor App é um documento que elenca 12 fatores que permitem facilitar a criação, manutenção e escalabilidade de uma aplicação. Iremos ver esses conceitos e também como aplicá-los.
Prática e estudo que consiste em transformar uma informação (texto claro) em um código cifrado, para que apenas as pessoas/sistemas escolhidos possam decifrar.
Pontos abordados: Tipos de criptografia (simétrica e assimétrica); Cifras e modos de operação; Geradores de aleatoriedade e vetores de inicialização; Hashing; Assinaturas.
O Zend Expressive é o micro-framework da Zend que implementa a PSR-7, lançado oficialmente em 2016.
A versão 2 foi lançada em março de 2017 e tem recebido bastante destaque desde então.
Aprenda sobre middlewares, controllers, factories e injeção de dependências via containers.
Entenda OAuth2 e como utilizá-lo para realizar a autorização de APIs, usando JSON Web Tokens (JWT) para lidar com access tokens.
Esses dois caminhos são extremamente opostos, certo? Para empreender, preciso abrir mão da minha carreira atual? Em muitos casos, não! Veremos exemplos de como podemos extrair o melhor de cada caminho para aliarmos inovação e o sentimento de realizar algo próprio sem abrir mão da carreira em alguma empresa.
