API e produto, nao script lateral
API REST exposta na internet precisa de HTTPS, autenticacao, validacao e monitoramento. JWT, JSON Web Token, e padrao comum: cliente envia token no header Authorization apos login. Servidor valida assinatura e expiracao sem consultar banco a cada request.
Em VPS, stack tipica: Nginx, app Node/Express, Laravel ou FastAPI, banco e Redis opcional para blacklist de tokens.
JWT com seguranca
Use algoritmo forte, secret longo ou par de chaves RS256. Defina expiracao curta para access token e refresh token separado. Nunca coloque dados sensiveis no payload JWT, ele e decodificavel. Valide issuer, audience e exp em toda request.
HTTPS obrigatorio. Token em header, nao em URL.
Infraestrutura
Nginx como reverse proxy com SSL, rate limit em login e rotas publicas, firewall liberando 80/443. App escuta localhost. Variaveis JWT_SECRET no .env protegido. Logs sem imprimir token completo.
Em escala, Servidor Dedicado ou multiplas instancias com load balancer.
Deploy e CORS
Configure CORS apenas para origens confiaveis. Health check endpoint para monitoramento. Documente API com OpenAPI. Teste 401, 403 e token expirado.
Conclusao
API REST com JWT em VPS exige HTTPS, secret forte, expiracao, rate limit e proxy correto. Trate autenticacao como prioridade desde o deploy inicial.
Nenhum comentário ainda. Seja o primeiro a comentar!