Análise do Fluxo de Autenticação e Autorização (Consignação)
Data de elaboração | 04/05/2023 |
---|---|
Responsável pelo estudo |
|
Equipe do estudo |
|
Alvo | Consignação |
Origem |
Implementação: Preciso Conhecer o Fluxo Existente de Login do Consignação |
Objetivo |
Analisar e descrever todo o Fluxo Atual de Autenticação e Autorização do Sistema Consignação |
Documentação correlata | |
Observações | O presente estudo pretende identificar e documento os códigos de autenticação e autorização. |
1. Objetivo
O Presente estudo visa analisar o fluxo de autenticação e autorização atual do sistema Consignação para que possa ser realizado uma tomada de decisão de como ficaram a autenticação e autorização de modo a evitar fraudes e que não interrompa nenhuma funcionalidade atual do sistema.
1.1 JUSTIFICATIVA
Atualmente o Consignação esta fazendo autenticação e autorização usando sua própria solução, como não é um sistema que os Vingadores não tem muito familiaridade com o código presente e regras de fluxo atual tendo assim a necessidade da execução deste estudo.
1.2 RESULTADOS ESPERADOS
Espera-se que após a conclusão deste estudo fique mais claro as regras do sistema Consignação referente ao fluxo de Autenticação e Autorização além de esclarecer o funcionamento da solução atual de Autenticação e Autorização.
2. Introdução
Será analisado do sistema Consignação como é feito o cadastro do usuário, acesso, reset de senha, gerenciamento de perfis, ativação e inativação de usuário e regras do fluxo de Autenticação e Autorização.
3. Desenvolvimento
3.1 CENÁRIO ATUAL
O Sistema Consignação possui dois projetos, sendo eles o Front-End desenvolvido em Vue.Js e o Back-End desenvolvido em Java Spring, quase toda a Autenticação e Autorização esta sendo realizado no projeto de Front-End.
3.1 CADASTRO DE USUÁRIO
O Cadastro de usuário pode ser realizado por três personas, são elas usuário com perfil MASTER, FUNCIONÁRIO CECON e INSTITUIÇÃO BANCÁRIA. Atualmente esse cadastro de usuário tem uma grande falha que pode dificultar a integração com outros sistemas de autenticação, essa falha é que o campo CPF antigamente no sistema não era obrigatório visto que o acesso ao sistema Consignação e feito pelo Login que é um dos campos de cadastro, foi se tornar um campo obrigatório a pouco tempo.
Os campos do cadastro são os seguintes
Nome do Campo | Obrigatório | Limite de Caracteres | Tipo de Campo |
Nome Completo | Sim | 100 | Texto Livre |
Login | Sim | 25 | Texto Livre com Validação para usuário já existente |
CPF/CNPJ | Sim | 14 | Texto Livre |
Sim | 120 | Texto Livre | |
Data de Contratação | Sim | Data | DatePicker |
CEP | Sim | 9 | Numérico |
Logradouro | Não | 255 | Texto Livre |
Número | Não | 8 | Texto Livre |
Bairro | Não | 255 | Texto Livre |
Cidade/UF | Não | Dropdown | Dropdown |
Instituição | Sim | Dropdown | Dropdown |
Perfil | Sim | Dropdown | Dropdown |
RG | Não | 20 | Texto Livre |
Celular | Não | 15 | Numérico |
Telefone | Não | 15 | Numérico |
O Cadastro de Usuário pode ser acessado pelo menu lateral com um dos perfis citados anteriormente, Administração > Funcionário > Novo. Será necessário realizar alguns ajustes nos campos de cadastro com o intuito de não permitir a inserção de dados inválidos.
Um fato importante e que no momento em que é realizado o cadastro não é informado uma senha ou enviado uma senha para o e-mail do usuário, para geração de senha esta sendo utilizado a funcionalidade de Reset de Senha.
3.2 ACESSO
O Acesso ao Consignação funciona atrás de Login e Senha, na tela inicial do sistema. Em caso de Perca de Senha a funcionalidade de Recuperar senha não está funcionando, só sendo possível reestabelecer acesso ao sistema caso alguma das personas com acesso a funcionalidade de Reset de Senha trocar a sua senha.
3.3 RESET DE SENHA
A Funcionalidade de Reset de senha do Consignação pode ser acessar por um usuário com perfil MASTER onde é possível encontrar pesquisar os usuários já cadastrados no sistema e realizar a troca da senha. O Reset funciona preenchendo os campos de Senha e Confirmação de Senha.
Por regra todas as senhas do Consignação precisam possui de 6 a 20 caracteres, no mínimo uma letra maiúscula e minúscula, numero e caractere especial. Uma senha forte e que dificulta um possível ataque de força bruta e a invasão do sistema.
Após o preenchimento e confirmação a senha é trocada e o usuário pode realizar a Autenticação informando o seu Login que foi cadastrado e sua nova senha, em caso de novos usuários a CECON enviar o Login e Senha para o Consignatário.
Fato importante o sistema não possui um sistema de expiração de senha, o que aumenta as chances de um acesso por uma pessoa que não deveria acessar o sistema conseguirá usar o Login e a Senha após meses ou anos.
3.4 GERENCIAMENTO DE PERFIS
Os Perfis disponíveis no sistema são:
Nome do Perfil | Disponível para Consignatárias |
MASTER | Não |
FUNCIONÁRIO CECON | Não |
BANCO BLOQUEADO | ? |
INSTITUICAO NAO BANCÁRIA | ? |
INSTITUICAO BANCÁRIA | Sim |
ANALISTA DE CREDITO | Sim |
CORRESPONDENTE BANCÁRIO | Sim |
FUNCIONÁRIO NORMAL | Sim |
FUNCIONÁRIO RESTRITO | Sim |
ANEXAR ADF | Sim |
AVERBAÇÃO CARTÃO | Sim |
ANALISTA DE CRÉDITO RESTRITO | Sim |
CORRESPONDENTE BANCÁRIO ANEXAR ADF | Sim |
Os Perfis que estão disponíveis para as Consignatárias durante o cadastro do usuário não obrigam o preenchimento do campo Perfil.
3.5 ATIVAÇÃO E INATIVAÇÃO DE USUÁRIOS
O Controle de Ativação de usuário pode ser encontrado após realizar acesso ao sistema com o perfil MASTER e procurar no menu lateral, Administração > Funcionário > Pesquisar, após buscar por um usuário a ser inativado, trocar o campo Ativo para não e após o usuário não terá mais acesso. Normalmente essa inativação é feita por um consignatária onde eles conseguem inativar usuários da sua instituição mas ela também pode ser feita pela CECON, uma vez que o usuário e inativado somente a CECON / Usuário com perfil MASTER pode ativar ele.
3.6 AUTENTICAÇÃO
Boa parte do código de Autenticação
3.7 AUTORIZAÇÃO
A autorização no sistema Consignação
4. Conclusão
Com a conclusão deste estudo fica mapeado o fluxo de autenticação e autorização e as regras do sistema para que possa ser feito uma analise futura e definir como ficara a autenticação com o intuito de evitar fraudes de acesso.