ApiKey passando por método GET

[0xtiago]

@andrebaltieri , boa tarde! Tudo bem?
Antes de mais nada gostaria de elogiar o conteúdo dos seus treinamentos. Está sendo muito importante para meu desenvolvimento. 🙏🏻

Gostaria apenas de alertar um ponto, no curso "Fundamentos do ASP.NET 6" ao implementar uma ApiKey, está sendo ensinado como prática a requisição sendo feita passando o parâmetro por método GET.
O risco de se fazer isso é pelo fato deste tipo de informação ser exposta em todas as camadas onde esta requisição trafega, como redes públicas, proxies, firewalls L7, assim suscetível a ataques Man-In-The-Middle e a informação será armazenada e todos os loggers destas soluções. Dependendo do "poder" que esta chave tenha, esta aplicação corre o risco de ser comprometida caso a ApiKey seja capturada por um ofensor.

Sugiro que a requisição seja por método POST e de forçada em HTTPS (TLS), assim diminui em muito o risco de comprometimento desta chave. Depois vou tentar reescrever este endpoint para tratar desta forma. =)

Grande abraço e muito obrigado!

Tiago

[andrebaltieri]

Boa tarde, @0xtiago como vai?

Muito obrigado pelo feedback, e realmente, expor o APIKEY pelo GET não é algo legal, inclusive comento no curso que neste modelo é saudável apenas em rede interna, entre Apps.

De qualquer forma, sempre que possível o ApiKey deve ser trafegado no Header (Mostro isto no curso também) assim como os Tokens.

Fora estes pontos, existe a questão do SSL, HTTPS e outros recursos de segurança que sempre precisamos ter.

Obrigado pelos feedbacks!