Security: Implementar Token (UUID) para desabilitar notificações e prevenir IDOR

[vitinh0z]

Descrição:

Atualmente, o endpoint de desabilitar notificações utiliza o ID sequencial do lembrete (/reminders/{id}/disable-notifications).

Precisamos evitar que um usuário mal intencionado simplesmente acesso o Endpoint responsável pelo cancelamento dos triggers e desabilite os reminders de outros usuários apenas digitando o ID do reminder (Isso é chamado de IDOR)

Tarefas:

• Adicionar coluna cancellation_token (UUID) na entidade Reminder.

• Gerar esse token automaticamente ao criar o lembrete.

• Alterar o endpoint para receber o token em vez do ID.

• Ajustar o envio de e-mail para usar o token no link.

[lucasbdourado]

Opinião: Não necessáriamente precisaria ser um UUID, podemos criptografar o id, qualquer coisa responda no grupo do discord

[vitinh0z]

Opinião: Não necessáriamente precisaria ser um UUID, podemos criptografar o id, qualquer coisa responda no grupo do discord

Sim, realmente. Acho que assim é bem mais fácil. Só que temos que usar uma lib de criptografia boa