Dúvida: Abordagem para APIs que necessitam de uma chave/token

[mtwzim]

Olá pessoal, eu ando recentemente acompanhando as issues e em que poderia ajudar, contudo já tive algumas ideias, e também já existem issues que indicam um determinado serviço (ou não) entretanto o(s) mesmo(s) necessitam de uma chave ou token que é disponibilizada criando uma conta no serviço.

Dito isso, eu gostaria de saber qual seria a abordagem a ser utilizada nesses casos e como será gerenciado.

Issues relacionadas: #147 e #52

Obrigado : )

[schneiderl]

Então, tenho a mesma dúvida.

Visto que a BrasilAPI é, essencialmente, um centralizador e "roteador" de APIs, acredito que a gerência dos tokens não devia ser de nossa responsabilidade.
Para os casos onde existe a necessidade de um token para a API, acredito que isso deve estar exposto na API da BrasilAPI para que seja passada via parâmetro. Isso reduz a facilidade do uso mas mantém o escopo da BrasilAPI onde, acredito eu, ele deve estar.

[lucianopf]

Ótimo ponto @mtwzim , acho que o que o @schneiderl comentou é interessante mas ainda assim provavelmente precisaremos de ter algumas variáveis de ambiente.

O Next ta hospedado na Vercel que tem um conceito MUITO massa de secrets, acho que a gnt poderia usar isso pra gerenciar as variáveis de ambiente, o que acham?

https://nextjs.org/docs/basic-features/environment-variables#environment-variables-on-vercel

https://vercel.com/docs/environment-variables#

[mtwzim]

Concordo com os pontos dos dois, entretanto no meu ponto de vista, acho mais interessante a ideia do @lucianopf, pois os usuários poderiam utlizar o endpoint sem precisar de uma Key.
Já utilizo a vercel e conheço o conceito das Secrets, contudo como seria gerenciado pela comunidade? Não consegui pensar em algo seguro. :(

[schneiderl]

Essa é a questão, pra mim. Concordo que seria muito bom pro usuário ele não precisar ir atrás dessas infos. Mas aí cabem duas questões: 1. A gerência e manutenção desses tokens; O que acontece com tokens expirados?; Como a comunidade pode manter isso? 2. O membro da comunidade da Brasil API que prove token estaria emprestando as suas credenciais para todos os outros usuários. Isso pode causar alguns problemas quando se tem limites de calls por usuário, por exemplo, além de problemas de segurança. Vale lembrar que não quero ser o “do contra”, mas, visto que estamos em um estágio inicial de definições, é legal darmos uma atenção especial pra esses detalhes para termos uma solução robusta no longo prazo. Valeu pela disussão, pessoal.

[RodriAndreotti]

Na realidade, concordo com o @schneiderl, além de termos a questão de limites de calls por usuário, isso também pode ferir a política de uso da api, talvez?

No meu ponto de vista acho que os tokens personalizados necessários precisariam ser gerenciados pelo usuário da API, e não pela comunidade.

Talvez se esse token viesse em um header, para não poluir muito a URL?