# üé• Camera Access via Network IP - Security Fix

**Problema**: `navigator.mediaDevices` √© `undefined` quando acessado via `http://192.168.100.37:3000`

**Causa**: Chrome bloqueia APIs poderosas (c√¢mera, geolocaliza√ß√£o, etc.) em contextos HTTP n√£o-seguros

**Data**: 18 de outubro de 2025

## ‚ùå Por que est√° falhando?

### Chrome Security Policy

APIs consideradas "poderosas" (c√¢mera, microfone, geolocaliza√ß√£o) **s√≥ funcionam em contextos seguros**:

‚úÖ **PERMITIDO**:
- `https://` (qualquer dom√≠nio)
- `http://localhost:3000`
- `http://127.0.0.1:3000`

‚ùå **BLOQUEADO**:
- `http://192.168.100.37:3000` ‚Üê Seu caso
- `http://192.168.x.x:*` (qualquer IP local)
- `http://meudominio.com`

### Console Log Evid√™ncia
```javascript
‚úÖ mediaDevices API available: false  // ‚Üê AQUI EST√Å O PROBLEMA
‚ùå Erro: getUserMedia API n√£o dispon√≠vel neste navegador
```

## üîß Solu√ß√£o 1: HTTPS com Certificado Self-Signed (RECOMENDADO)

### Por que HTTPS?
- ‚úÖ Funciona em **qualquer IP** (192.168.x.x, 10.x.x.x, etc.)
- ‚úÖ Funciona em **qualquer dispositivo** da rede
- ‚úÖ Solu√ß√£o **permanente** e **profissional**
- ‚úÖ Simula ambiente de **produ√ß√£o**

### Passos de Implementa√ß√£o

### Passo 1: Gerar Certificado SSL Self-Signed

**No PowerShell (Windows):**

In [None]:
# Criar pasta para certificados
New-Item -ItemType Directory -Force -Path "./certs"

# Gerar certificado self-signed v√°lido por 365 dias
# Substitua 192.168.100.37 pelo seu IP
$cert = New-SelfSignedCertificate `
    -DnsName "192.168.100.37", "localhost" `
    -CertStoreLocation "cert:\LocalMachine\My" `
    -NotAfter (Get-Date).AddYears(1) `
    -KeyLength 2048 `
    -KeyAlgorithm RSA `
    -HashAlgorithm SHA256 `
    -KeyUsage DigitalSignature, KeyEncipherment `
    -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.1")

# Exportar certificado (.pfx)
$password = ConvertTo-SecureString -String "academia2025" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath "./certs/server.pfx" -Password $password

# Exportar chave p√∫blica (.pem) para Fastify
$certPath = "cert:\LocalMachine\My\$($cert.Thumbprint)"
Export-Certificate -Cert $certPath -FilePath "./certs/server.crt"

Write-Host "‚úÖ Certificado gerado com sucesso!"
Write-Host "üìÅ Localiza√ß√£o: ./certs/"
Write-Host "üîë Senha: academia2025"

### Passo 2: Converter .pfx para .pem/.key (Fastify precisa)

**Instalar OpenSSL** (se n√£o tiver):
- Download: https://slproweb.com/products/Win32OpenSSL.html
- Ou via Chocolatey: `choco install openssl`

In [None]:
# Extrair chave privada (.key)
openssl pkcs12 -in ./certs/server.pfx -nocerts -out ./certs/server.key -nodes -passin pass:academia2025

# Extrair certificado (.pem)
openssl pkcs12 -in ./certs/server.pfx -clcerts -nokeys -out ./certs/server.pem -passin pass:academia2025

Write-Host "‚úÖ Certificados convertidos para formato PEM!"
Get-ChildItem ./certs/

### Passo 3: Configurar Fastify para HTTPS

**Editar `src/server.ts`:**

In [None]:
import Fastify from 'fastify';
import { readFileSync } from 'fs';
import { join } from 'path';

// ‚úÖ HTTPS Configuration
const isProduction = process.env.NODE_ENV === 'production';
const useHTTPS = process.env.USE_HTTPS === 'true' || !isProduction;

let httpsOptions = {};

if (useHTTPS) {
  try {
    httpsOptions = {
      https: {
        key: readFileSync(join(__dirname, '../certs/server.key')),
        cert: readFileSync(join(__dirname, '../certs/server.pem'))
      }
    };
    console.log('üîí HTTPS enabled with self-signed certificate');
  } catch (error) {
    console.warn('‚ö†Ô∏è HTTPS certificates not found, falling back to HTTP');
    console.warn('   Run: npm run cert:generate');
  }
}

const fastify = Fastify({
  logger: true,
  ...httpsOptions
});

// Resto do c√≥digo...
const PORT = process.env.PORT || 3000;
const HOST = process.env.HOST || '0.0.0.0';

fastify.listen({ port: PORT, host: HOST }, (err, address) => {
  if (err) throw err;
  console.log(`üöÄ Server listening on ${address}`);
});

### Passo 4: Adicionar Scripts ao package.json

In [None]:
{
  "scripts": {
    "dev": "USE_HTTPS=true tsx watch src/server.ts",
    "dev:http": "tsx watch src/server.ts",
    "cert:generate": "powershell -ExecutionPolicy Bypass -File ./scripts/generate-cert.ps1",
    "cert:trust": "powershell -ExecutionPolicy Bypass -File ./scripts/trust-cert.ps1"
  }
}

### Passo 5: Confiar no Certificado (Chrome)

**Op√ß√£o A: Via Script PowerShell (Recomendado)**

In [None]:
# scripts/trust-cert.ps1

# Importar certificado para Trusted Root
$cert = Get-PfxCertificate -FilePath "./certs/server.pfx"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store(
    "Root", "CurrentUser"
)
$store.Open("ReadWrite")
$store.Add($cert)
$store.Close()

Write-Host "‚úÖ Certificado adicionado √†s autoridades confi√°veis!"
Write-Host "üîÑ Reinicie o navegador para aplicar mudan√ßas"

**Op√ß√£o B: Manual no Chrome**

1. Acesse `https://192.168.100.37:3000`
2. Clique em **"Avan√ßado"** no aviso de certificado
3. Clique em **"Prosseguir para 192.168.100.37 (n√£o seguro)"**
4. Ou importe o certificado:
   - Chrome ‚Üí Configura√ß√µes ‚Üí Privacidade e Seguran√ßa ‚Üí Seguran√ßa
   - **Gerenciar certificados do dispositivo**
   - **Autoridades de Certifica√ß√£o Raiz Confi√°veis**
   - **Importar** ‚Üí Selecione `certs/server.crt`

### Passo 6: Testar HTTPS

In [None]:
# Reiniciar servidor com HTTPS
npm run dev

# Abrir no navegador
Start-Process "https://192.168.100.37:3000/#checkin-kiosk"

# Console deve mostrar:
# üîí HTTPS enabled with self-signed certificate
# üöÄ Server listening on https://0.0.0.0:3000
# ‚úÖ mediaDevices API available: true  ‚Üê FUNCIONANDO!

## üîß Solu√ß√£o 2: Chrome Flags (TEMPOR√ÅRIO - Apenas Dev)

‚ö†Ô∏è **USE APENAS PARA TESTES** - N√£o √© solu√ß√£o permanente

### Passo 1: Habilitar Flag no Chrome

In [None]:
1. Abra: chrome://flags/#unsafely-treat-insecure-origin-as-secure

2. Adicione: http://192.168.100.37:3000

3. Selecione: "Enabled"

4. Clique em "Relaunch"

‚úÖ C√¢mera vai funcionar em http://192.168.100.37:3000

### Desvantagens desta Solu√ß√£o

‚ùå Precisa configurar **em cada navegador** de cada dispositivo
‚ùå Configura√ß√£o **perde ao limpar dados** do Chrome
‚ùå **N√£o funciona em produ√ß√£o**
‚ùå Usu√°rios ter√£o que fazer o mesmo
‚ùå N√£o √© **seguro** (bypassa prote√ß√µes do navegador)

## üîß Solu√ß√£o 3: Port Forwarding + localhost (WORKAROUND)

### Conceito
Redirecionar conex√µes de `localhost:3000` para `192.168.100.37:3000`

### Implementa√ß√£o (Windows)

In [None]:
# PowerShell como Administrador

# Adicionar regra de port forwarding
netsh interface portproxy add v4tov4 `
    listenport=3000 `
    listenaddress=127.0.0.1 `
    connectport=3000 `
    connectaddress=192.168.100.37

# Verificar regra
netsh interface portproxy show all

# Agora acesse: http://localhost:3000/#checkin-kiosk
# ‚úÖ C√¢mera funcionar√°!

### Desvantagens

‚ùå S√≥ funciona **no pr√≥prio servidor**
‚ùå Outros dispositivos da rede **n√£o conseguem acessar**
‚ùå Tablet precisa estar no mesmo computador (invi√°vel)

## üìä Compara√ß√£o das Solu√ß√µes

| Solu√ß√£o | Funciona em Rede? | Permanente? | Produ√ß√£o? | Complexidade |
|---------|-------------------|-------------|-----------|---------------|
| **HTTPS Self-Signed** | ‚úÖ Sim | ‚úÖ Sim | ‚úÖ Sim* | M√©dia |
| **Chrome Flags** | ‚úÖ Sim | ‚ùå N√£o | ‚ùå N√£o | Baixa |
| **Port Forwarding** | ‚ùå N√£o | ‚úÖ Sim | ‚ùå N√£o | Baixa |

*Em produ√ß√£o, use certificado SSL v√°lido (Let's Encrypt, etc.)

## üéØ Recomenda√ß√£o Final

### Para Seu Cen√°rio (Tablet na Rede Local)

**USE: Solu√ß√£o 1 (HTTPS Self-Signed)**

‚úÖ **Por qu√™?**
- Funciona em **qualquer dispositivo** da rede
- Tablet pode acessar via `https://192.168.100.37:3000`
- Solu√ß√£o **profissional** e **permanente**
- Simula **ambiente de produ√ß√£o**
- N√£o precisa configurar cada navegador

### Pr√≥ximos Passos

1. ‚úÖ Gerar certificado SSL (5 minutos)
2. ‚úÖ Configurar Fastify para HTTPS (5 minutos)
3. ‚úÖ Confiar no certificado (2 minutos)
4. ‚úÖ Testar no navegador desktop
5. ‚úÖ Testar no tablet

**Tempo total**: ~15 minutos

## üîç Debugging

### Verificar se HTTPS est√° funcionando

In [None]:
// No console do navegador (F12)

// 1. Verificar protocolo
console.log('Protocol:', window.location.protocol); // Deve ser "https:"

// 2. Verificar mediaDevices dispon√≠vel
console.log('mediaDevices:', navigator.mediaDevices); // Deve ser objeto
console.log('getUserMedia:', typeof navigator.mediaDevices?.getUserMedia); // Deve ser "function"

// 3. Testar acesso √† c√¢mera
navigator.mediaDevices.getUserMedia({ video: true })
  .then(stream => {
    console.log('‚úÖ C√¢mera acessada com sucesso!', stream);
    stream.getTracks().forEach(track => track.stop());
  })
  .catch(err => {
    console.error('‚ùå Erro ao acessar c√¢mera:', err.name, err.message);
  });

### Erros Comuns

**Erro**: `NotAllowedError: Permission denied`
- **Solu√ß√£o**: Clique em "Permitir" quando o navegador pedir permiss√£o

**Erro**: `NotFoundError: Requested device not found`
- **Solu√ß√£o**: Verifique se webcam est√° conectada e funcionando

**Erro**: `NotReadableError: Could not start video source`
- **Solu√ß√£o**: Feche outros programas usando a c√¢mera (Zoom, Teams, etc.)

**Erro**: `TypeError: Cannot read properties of undefined`
- **Solu√ß√£o**: Protocolo n√£o √© HTTPS ou flag n√£o habilitada

## üìö Refer√™ncias

- [Chrome Secure Contexts](https://www.chromium.org/Home/chromium-security/prefer-secure-origins-for-powerful-new-features/)
- [MDN - getUserMedia](https://developer.mozilla.org/en-US/docs/Web/API/MediaDevices/getUserMedia)
- [Fastify HTTPS](https://www.fastify.io/docs/latest/Reference/Server/#https)
- [Self-Signed Certificates](https://web.dev/how-to-use-local-https/)