# Aula 5: Autenticação e Segurança

As APIs desempenham um papel crucial na comunicação entre sistemas e aplicações modernas, permitindo o acesso a dados e serviços de maneira eficiente e escalável. Porém, essa exposição também as torna um alvo atrativo para ataques cibernéticos. Garantir que uma API seja segura de acessar não é apenas uma questão de proteger dados sensíveis, mas também de preservar a confiabilidade da aplicação e evitar danos à reputação e perdas financeiras.

### Por que a segurança em APIs é essencial?


- Proteção de Dados Sensíveis: APIs frequentemente lidam com informações confidenciais, como dados pessoais, senhas ou transações financeiras. A exposição desses dados pode levar a violações de privacidade e problemas legais.

- Prevenção de Ataques: Vulnerabilidades em APIs podem ser exploradas por ataques como injeção de SQL, falsificação de requisições (CSRF) ou força bruta, comprometendo a integridade do sistema.

- Conformidade Legal: Regulamentações como a LGPD (Lei Geral de Proteção de Dados) ou GDPR (General Data Protection Regulation) exigem práticas seguras de manipulação de dados.

- Confiança do Usuário: Uma API segura reforça a confiança dos usuários e parceiros na plataforma, enquanto falhas podem afastá-los.

## Expandindo o projeto

Nosso projeto com _TO-DO LIST_ está ficando robusto e por isso precisamos reestruturar em submódulos onde a intenção é que cada rota fique em um arquivo diferente:

```markdown
sua_pasta_do_projeto/
├── main.py
├── routers/
│   ├── __init__.py
│   ├── users.py
│   ├── tasks.py
├── models/
│   ├── __init__.py
│   ├── user.py
│   ├── task.py
├── schemas/
│   ├── __init__.py
│   ├── user.py
│   ├── task.py
├── db/
│   ├── __init__.py
│   ├── database.py
├── auth/
│   ├── __init__.py
│   ├── jwt_handler.py
│   ├── dependencies.py

```




A intenção de reestruturar o projeto é para fornecer novas _features_ como a de "Login de usuários" então para acessar as outras rotas do seu projeto, primeiramente precisamos autenticar se o usuário e a senha fornecida estão inseridas no nosso banco de dados.

### Recursos do FastAPI para Segurança

O FastAPI fornece ferramentas robustas e integradas para implementar segurança em APIs, garantindo conformidade com as melhores práticas do setor.

#### Autenticação com OAuth2

- O FastAPI facilita a implementação de OAuth2, um dos protocolos mais utilizados para autenticação e autorização. Ele inclui suporte para fluxos de autenticação com OAuth2PasswordBearer, permitindo que aplicações identifiquem usuários por meio de tokens seguros.

- Documentação interativa ajuda a visualizar o fluxo de autenticação diretamente no Swagger UI.


#### JSON Web Tokens (JWT)

- O JWT é uma forma eficiente e segura de autenticar usuários, gerando tokens que carregam informações do usuário de maneira compacta e verificável.

- No FastAPI, a biblioteca python-jose pode ser usada para criar e validar tokens, garantindo que apenas usuários autorizados tenham acesso a determinados recursos.





### Gerenciamento de Permissões (RBAC)

FastAPI permite implementar sistemas de autorização que controlam quem pode acessar ou modificar determinados recursos, com base em funções ou níveis de acesso.


### Criptografia de Dados

Dados sensíveis, como senhas, devem ser sempre armazenados de forma criptografada. O FastAPI pode integrar-se facilmente com bibliotecas como bcrypt para hash de senhas e python-jose para criptografia de tokens.


### Proteção Contra Ataques de Cross-Site

O FastAPI fornece suporte para configurar cabeçalhos de segurança como CORS (Cross-Origin Resource Sharing), prevenindo que aplicações não autorizadas acessem a API.


### Rate Limiting e Monitoramento

Embora não nativo do FastAPI, é possível integrar ferramentas externas para limitar o número de requisições por usuário, mitigando ataques de força bruta ou DDoS.




### Validação Automática de Dados

O uso de Pydantic para validação de entradas impede que dados malformados ou maliciosos sejam processados pela API.


## Conceitos de autenticação e autorização.


## Atividade prática: Adicionar autenticação e proteção de rotas na API de tarefas.

