CodeGym /Cursos /Docker SELF /Segurança e gerenciamento de acesso

Segurança e gerenciamento de acesso

Docker SELF

Nível 24 , Lição 0

Disponível

6.1 Autenticação e Autorização de Usuários

Nessa etapa, a gente vai explorar como garantir a segurança da nossa aplicação com múltiplos containers e gerenciar o acesso. Isso inclui autenticação de usuários, criptografia de dados, proteção da API e configuração de conexões seguras entre serviços.

Objetivo: garantir que apenas usuários registrados e autenticados possam interagir com a aplicação e realizar operações.

Implementação de JWT (JSON Web Token) para autenticação

Passo 1. Instalar as bibliotecas necessárias:

Terminal


pip install Flask-JWT-Extended

Passo 2. Configurar JWT na aplicação Flask:

Adicione as seguintes mudanças no arquivo backend/app/__init__.py:

Python


from flask_jwt_extended import JWTManager

app = Flask(__name__)
app.config['SQLALCHEMY_DATABASE_URI'] = 'postgresql://taskuser:taskpassword@database:5432/taskdb'
app.config['JWT_SECRET_KEY'] = 'sua_chave_secreta_jwt'  # Substitua pela sua chave secreta
db = SQLAlchemy(app)
jwt = JWTManager(app)
        
from app import routes

Passo 3. Criar rotas para registro e autorização:

Adicione as seguintes rotas no arquivo backend/app/routes.py:

Python


from flask_jwt_extended import create_access_token, jwt_required, get_jwt_identity
from werkzeug.security import generate_password_hash, check_password_hash
from app.models import User, Task
        
@app.route('/register', methods=['POST'])
def register():
    data = request.get_json()
    hashed_password = generate_password_hash(data['password'], method='sha256')
    new_user = User(username=data['username'], password=hashed_password)
    db.session.add(new_user)
    db.session.commit()
    return jsonify({'message': 'Usuário registrado com sucesso'}), 201
        
@app.route('/login', methods=['POST'])
def login():
    data = request.get_json()
    user = User.query.filter_by(username=data['username']).first()
    if not user or not check_password_hash(user.password, data['password']):
        return jsonify({'message': 'Credenciais inválidas'}), 401

    access_token = create_access_token(identity=user.id)
    return jsonify({'access_token': access_token}), 200

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])

Passo 4. Atualizar o modelo User para armazenar senhas:

Atualize o arquivo backend/app/models.py:

Python


from app import db

class User(db.Model):
    id = db.Column(db.Integer, primary_key=True)
    username = db.Column(db.String(80), unique=True, nullable=False)
    password = db.Column(db.String(120), nullable=False)
    tasks = db.relationship('Task', backref='owner', lazy=True)

6.2 Criptografia de Dados

Objetivo: garantir a proteção dos dados durante a transmissão entre o cliente e o servidor.

Uso de HTTPS

Passo 1. Configurar Nginx como proxy reverso com suporte a HTTPS:

Crie o arquivo nginx.conf no diretório raiz do projeto:

Texto


server {
    listen 80;
    server_name your_domain.com;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Passo 2. Criar Dockerfile para Nginx:

Crie o arquivo Dockerfile no diretório nginx:

dockerfile


FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf

Passo 3. Adicionar Nginx no compose.yaml:

Atualize o arquivo compose.yaml, adicionando o serviço para o Nginx:

Yaml


version: '3'

services:
  frontend:
    build: ./frontend
    ports:
      - "3000:3000"
    networks:
      - task-network
        
  backend:
    build: ./backend
    ports:
      - "5000:5000"
    depends_on:
      - database
    networks:
      - task-network
    environment:
      - DATABASE_URL=postgresql://taskuser:taskpassword@database:5432/taskdb
        
  database:
    image: postgres:13
    environment:
      - POSTGRES_DB=taskdb
      - POSTGRES_USER=taskuser
      - POSTGRES_PASSWORD=taskpassword
    networks:
      - task-network
    volumes:
      - db-data:/var/lib/postgresql/data
        
  nginx:
    build: ./nginx
    ports:
      - "80:80"
    depends_on:
      - frontend
      - backend
    networks:
      - task-network
        
networks:
  task-network:
    driver: bridge
        
volumes:
  db-data:

6.3 Obter um certificado SSL com Let's Encrypt

Passo 1. Instalação do Certbot:

Siga as instruções no site oficial do Certbot para instalar o Certbot.

Passo 2. Obter o certificado:

Terminal


sudo certbot certonly --standalone -d seu_dominio.com

Passo 3. Configurando o Nginx para usar SSL:

Atualize o arquivo nginx.conf para usar SSL:

Text


server {
    listen 80;
    server_name seu_dominio.com;
    return 301 https://$host$request_uri;
}
        
server {
    listen 443 ssl;
    server_name seu_dominio.com;
        
    ssl_certificate /etc/letsencrypt/live/seu_dominio.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/seu_dominio.com/privkey.pem;
        
    location / {
        proxy_pass http://frontend:3000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
        
    location /api {
        proxy_pass http://backend:5000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

Passo 4. Atualizar o Dockerfile do Nginx para copiar os certificados:

dockerfile


FROM nginx:latest
COPY nginx.conf /etc/nginx/nginx.conf
COPY /etc/letsencrypt /etc/letsencrypt

6.4 Proteção de API

Objetivo: limitar o acesso à API e evitar solicitações não autorizadas.

Usando JWT para proteger rotas

Já adicionamos proteção para as rotas de tarefas, usando o decorador @jwt_required(). Garanta que todas as rotas sensíveis estejam protegidas com esse decorador:

Python


from flask_jwt_extended import jwt_required, get_jwt_identity

@app.route('/tasks', methods=['GET'])
@jwt_required()
def get_tasks():
    current_user_id = get_jwt_identity()
    tasks = Task.query.filter_by(owner_id=current_user_id).all()
    return jsonify([task.to_dict() for task in tasks])

Restrição de acesso ao banco de dados

Objetivo: evitar acesso não autorizado ao banco de dados.

Configuração de papéis e privilégios

Passo 1. Criar um usuário com privilégios limitados:

SQL


CREATE USER limited_user WITH PASSWORD 'limited_password';
GRANT CONNECT ON DATABASE taskdb TO limited_user;
GRANT USAGE ON SCHEMA public TO limited_user;
GRANT SELECT, INSERT, UPDATE, DELETE ON ALL TABLES IN SCHEMA public TO limited_user;

Passo 2. Atualizar a variável de ambiente DATABASE_URL:

Atualize a variável de ambiente DATABASE_URL no arquivo compose.yaml:

Yaml


environment:
  - DATABASE_URL=postgresql://limited_user:limited_password@database:5432/taskdb

Anterior Lição anterior

Próxima Próxima lição

Comentários

TO VIEW ALL COMMENTS OR TO MAKE A COMMENT,
GO TO FULL VERSION