Br Bridge

Segurança e boas práticas

Integração apenas pelo servidor; nunca expor x-api-key ou JWT no front; revogação em caso de vazamento.

Integração segura

Chamadas apenas pelo servidor

O modelo seguro é: seu backend chama o Bridge com x-api-key e, quando necessário, com o JWT da BrBet. O navegador ou app do usuário final não deve conter a API key nem montar essas requisições com segredos.

Motivos:

  • A API key identifica o parceiro e concede acesso amplo às rotas expostas; vazar no front (bundle, variável de ambiente “NEXT_PUBLIC”, DevTools, extensões) equivale a entregar credencial de produção.
  • O JWT do usuário também não deve ser tratado como “público” em clients não confiáveis.

O que acontece se a API key vazar

Se a x-api-key for exposta em cliente, tráfego ou repositório público, ela deve ser considerada comprometida. Nesse caso, a chave pode ser cancelada / revogada imediatamente e substituída por uma nova no cadastro do bridge user — assuma que qualquer vazamento resulta em rotação obrigatória da credencial.

Boas práticas

  • Armazene a API key em secret de ambiente no servidor (Vercel/Node, worker, etc.).
  • Faça proxy: o front chama apenas a sua API; o servidor adiciona os headers sensíveis.
  • Use HTTPS em todas as integrações.
  • Não logue headers Authorization ou x-api-key em ferramentas de analytics ou logs públicos.

Login POST

Next Page

On this page

Integração seguraChamadas apenas pelo servidorO que acontece se a API key vazarBoas práticas