Análise do Fluxo de Autenticação e Autorização (Consignação)

1. Objetivo

O Presente estudo visa analisar o fluxo de autenticação e autorização atual do sistema Consignação para que possa ser realizado uma tomada de decisão de como ficaram a autenticação e autorização de modo a evitar fraudes e que não interrompa nenhuma funcionalidade atual do sistema.

1.1 JUSTIFICATIVA

Atualmente o Consignação esta fazendo autenticação e autorização usando sua própria solução, como não é um sistema que os Vingadores não tem muito familiaridade com o código presente e regras de fluxo atual tendo assim a necessidade da execução deste estudo.

1.2 RESULTADOS ESPERADOS

Espera-se que após a conclusão deste estudo fique mais claro as regras do sistema Consignação referente ao fluxo de Autenticação e Autorização além de esclarecer o funcionamento da solução atual de Autenticação e Autorização.

2. Introdução

Será analisado do sistema Consignação como é feito o cadastro do usuário, acesso, reset de senha, gerenciamento de perfis, ativação e inativação de usuário e regras do fluxo de Autenticação e Autorização.

3. Desenvolvimento

3.1 CENÁRIO ATUAL

O Sistema Consignação possui dois projetos, sendo eles o Front-End desenvolvido em Vue.Js e o Back-End desenvolvido em Java Spring, quase toda a Autenticação e Autorização esta sendo realizado no projeto de Front-End.

3.1 CADASTRO DE USUÁRIO

-O Cadastro de usuário pode ser realizado por três personas, são elas usuário com perfil MASTER, FUNCIONÁRIO CECON e INSTITUIÇÃO BANCÁRIA. Atualmente esse cadastro de usuário tem uma grande falha que pode dificultar a integração com outros sistemas de autenticação, essa falha é que o campo CPF antigamente no sistema não era obrigatório visto que o acesso ao sistema Consignação e feito pelo Login que é um dos campos de cadastro, foi se tornar um campo obrigatório a pouco tempo.

Os campos do cadastro são os seguintes

Nome do Campo	Obrigatório	Limite de Caracteres	Tipo de Campo
Nome Completo	Sim	100	Texto Livre
Login	Sim	25	Texto Livre com Validação para usuário já existente
CPF/CNPJ	Sim	14	Texto Livre
E-mail	Sim	120	Texto Livre
Data de Contratação	Sim	Data	DatePicker
CEP	Sim	9	Numérico
Logradouro	Não	255	Texto Livre
Número	Não	8	Texto Livre
Bairro	Não	255	Texto Livre
Cidade/UF	Não	Dropdown	Dropdown
Instituição	Sim	Dropdown	Dropdown
Perfil	Sim	Dropdown	Dropdown
RG	Não	20	Texto Livre
Celular	Não	15	Numérico
Telefone	Não	15	Numérico

O Cadastro de Usuário pode ser acessado pelo menu lateral com um dos perfis citados anteriormente, Administração > Funcionário > Novo. Será necessário realizar alguns ajustes nos campos de cadastro com o intuito de não permitir a inserção de dados inválidos.

Um fato importante e que no momento em que é realizado o cadastro não é informado uma senha ou enviado uma senha para o e-mail do usuário, para geração de senha esta sendo utilizado a funcionalidade de Reset de Senha.

3.2 ACESSO

-O Acesso ao Consignação funciona atrás de Login e Senha, na tela inicial do sistema. Em caso de Perca de Senha a funcionalidade de Recuperar senha não está funcionando, só sendo possível reestabelecer acesso ao sistema caso alguma das personas com acesso a funcionalidade de Reset de Senha trocar a sua senha.

3.3 RESET DE SENHA

-A Funcionalidade de Reset de senha do Consignação pode ser acessar por um usuário com perfil MASTER onde é possível encontrar pesquisar os usuários já cadastrados no sistema e realizar a troca da senha. O Reset funciona preenchendo os campos de Senha e Confirmação de Senha.

Por regra todas as senhas do Consignação precisam possui de 6 a 20 caracteres, no mínimo uma letra maiúscula e minúscula, numero e caractere especial. Uma senha forte e que dificulta um possível ataque de força bruta e a invasão do sistema.

Após o preenchimento e confirmação a senha é trocada e o usuário pode realizar a Autenticação informando o seu Login que foi cadastrado e sua nova senha, em caso de novos usuários a CECON enviar o Login e Senha para o Consignatário.

Fato importante o sistema não possui um sistema de expiração de senha, o que aumenta as chances de um acesso por uma pessoa que não deveria acessar o sistema conseguirá usar o Login e a Senha após meses ou anos.

3.4 GERENCIAMENTO DE PERFIS

-Os Perfis disponíveis no sistema são:

Nome do Perfil	Disponível para Consignatárias
MASTER	Não
FUNCIONÁRIO CECON	Não
BANCO BLOQUEADO	?
INSTITUICAO NAO BANCÁRIA	?
INSTITUICAO BANCÁRIA	Sim
ANALISTA DE CREDITO	Sim
CORRESPONDENTE BANCÁRIO	Sim
FUNCIONÁRIO NORMAL	Sim
FUNCIONÁRIO RESTRITO	Sim
ANEXAR ADF	Sim
AVERBAÇÃO CARTÃO	Sim
ANALISTA DE CRÉDITO RESTRITO	Sim
CORRESPONDENTE BANCÁRIO ANEXAR ADF	Sim

Os Perfis que estão disponíveis para as Consignatárias durante o cadastro do usuário não obrigam o preenchimento do campo Perfil.

3.5 ATIVAÇÃO E INATIVAÇÃO DE USUÁRIOS

-O Controle de Ativação de usuário pode ser encontrado após realizar acesso ao sistema com o perfil MASTER e procurar no menu lateral, Administração > Funcionário > Pesquisar, após buscar por um usuário a ser inativado, trocar o campo Ativo para não e após o usuário não terá mais acesso. Normalmente essa inativação é feita por um consignatária onde eles conseguem inativar usuários da sua instituição mas ela também pode ser feita pela CECON, uma vez que o usuário e inativado somente a CECON / Usuário com perfil MASTER pode ativar ele.

3.6 AUTENTICAÇÃO

-
Boa parte do código de Autenticação 

3.7 AUTORIZAÇÃO

-A autorização no sistema Consignação

4. Conclusão

-Com a conclusão deste estudo fica mapeado o fluxo de autenticação e autorização e as regras do sistema para que possa ser feito uma analise futura e definir como ficara a autenticação com o intuito de evitar fraudes de acesso.