Edição Protegida#
A EditPolicy permite restringir quem pode abrir o designer e salvar alterações em relatórios. Quando ativa, o Studio solicita um código OTP por email antes de liberar a edição e exige um segundo código OTP para confirmar o salvamento.
┌──────────┐ POST /edit/verify ┌──────────────┐ email ┌──────────┐
│ Studio │────────────────────────▶│ Server │──────────▶│ Email │
│ (edit) │◀── { status: sent } │ (gera OTP) │ │ (OTP) │
│ │ └──────────────┘ └──────────┘
│ │ POST /edit/confirm
│ │ { email, reportId, code, intent: "edit" }
│ │────────────────────────▶┌──────────────┐
│ │◀── { token, expiresAt } │ Server │
│ │ │ (verifica + │
│ │ (usa token para editar)│ emite token)│
│ │ └──────────────┘
│ (save) │ POST /edit/verify (intent: "save")
│ │────────────────────────▶ (mesmo fluxo)
│ │◀── saveToken
│ │
│ │ PUT /api/v1/reports/:id
│ │ X-Edit-Token: <saveToken>
│ │────────────────────────▶┌──────────────┐
│ │◀── { report atualizado }│ Server │
└──────────┘ └──────────────┘
Dois intents distintos:
| Intent | Quando | TTL do token |
|---|---|---|
edit | Ao abrir o designer | 1 hora (configurável) |
save | Ao confirmar salvamento | 5 minutos (configurável) |
Os dois tokens são assinados com HMAC-SHA256, ligados ao reportId e ao email verificado.
Endpoints#
Política — GET /api/v1/edit/policy#
Retorna a configuração de EditPolicy do servidor. O cliente usa isso para decidir se deve exibir o fluxo OTP.
Response 200:
{
"enabled": true,
"editTokenExpirationSeconds": 3600,
"saveTokenExpirationSeconds": 300,
"otpExpirationSeconds": 300,
"identityHints": ["@acme.com"]
}
Solicitar OTP — POST /api/v1/edit/verify#
Gera e envia um código OTP para o email informado.
Body:
{
"email": "user@acme.com",
"reportId": "uuid-do-relatorio",
"intent": "edit"
}
| Campo | Obrigatório | Valores |
|---|---|---|
email | Sim | email válido |
reportId | Sim | ID do relatório |
intent |
Não | "edit" (default) ou "save" |
Response 200:
{
"status": "sent",
"expiresIn": 300
}
Erros:
| Status | Erro | Quando |
|---|---|---|
400 | invalid_email | Email inválido |
400 |
validation_error |
reportId ausente |
400 |
invalid_intent |
intent diferente de "edit" ou "save" |
400 |
policy_disabled |
EditPolicy não habilitada no servidor |
403 |
identity_not_allowed |
Email/domínio não permitido por EDIT_ALLOWED_IDENTITIES |
404 | not_found | Relatório não encontrado |
429 | rate_limited | Código já enviado recentemente |
503 |
not_configured |
OTP service não configurado (sem email provider) |
503 |
service_unavailable |
Falha no envio do email ou OTP store cheio |
Confirmar OTP — POST /api/v1/edit/confirm#
Verifica o código OTP e retorna um token assinado.
Body:
{
"email": "user@acme.com",
"reportId": "uuid-do-relatorio",
"code": "123456",
"intent": "edit"
}
Response 200:
{
"token": "<base64url(payload)>.<hmac>",
"expiresAt": "2026-04-11T18:00:00.000Z"
}
Erros:
| Status | Erro | Quando |
|---|---|---|
400 | invalid_code | Código incorreto |
400 |
otp_not_found |
Nenhum código pendente para este email/relatório |
400 | policy_disabled | EditPolicy não habilitada |
403 |
identity_not_allowed |
Email/domínio não permitido |
404 | not_found | Relatório não encontrado |
410 | expired | Código expirado |
423 |
max_attempts |
Tentativas esgotadas — solicitar novo código |
503 | not_configured | OTP service não configurado |
Salvar com token — PUT /api/v1/reports/:id#
Quando a EditPolicy está ativa, o endpoint de atualização exige o header X-Edit-Token com um token de intent
save.
Headers:
X-Edit-Token: <saveToken>
Erros específicos da EditPolicy:
| Status | Erro | Quando |
|---|---|---|
401 |
save_token_required |
Header X-Edit-Token ausente |
403 |
save_token_invalid |
Token inválido, expirado, intent errado ou reportId diferente |
Configuração#
Variáveis de ambiente#
| Variável | Default | Descrição |
|---|---|---|
EDIT_POLICY_ENABLED | false | Habilita a EditPolicy |
EDIT_ALLOWED_IDENTITIES |
— (todos) | Emails ou domínios autorizados, separados por vírgula |
EDIT_TOKEN_SECRET |
— (efêmero) | Segredo HMAC para assinar tokens. Sem essa variável, tokens expiram ao reiniciar o servidor |
EDIT_TOKEN_EXPIRATION |
3600 |
TTL do token de edição em segundos |
SAVE_TOKEN_EXPIRATION |
300 |
TTL do token de salvamento em segundos |
EDIT_OTP_EXPIRATION |
300 |
Expiração do código OTP em segundos |
EDIT_OTP_MAX_ATTEMPTS |
3 |
Tentativas máximas antes de invalidar |
EDIT_OTP_LENGTH |
6 |
Comprimento do código OTP numérico |
Também é necessário configurar um email provider. Veja Configuração → Email.
Exemplo de configuração#
export EDIT_POLICY_ENABLED=true
export EDIT_ALLOWED_IDENTITIES="acme.com,admin@parceiro.com"
export EDIT_TOKEN_SECRET="segredo-hmac-longo-e-aleatorio"
export RESEND_API_TOKEN="re_..."
export RESEND_FROM_EMAIL="noreply@acme.com"
Fluxo completo#
1. Cliente detecta a política#
GET /api/v1/edit/policy
# → { "enabled": true, "editTokenExpirationSeconds": 3600, ... }
Se enabled: true, o Studio exibe o fluxo OTP ao abrir o designer.
2. Solicitar OTP de edição#
curl -X POST https://server.com/api/v1/edit/verify \
-H "Content-Type: application/json" \
-d '{ "email": "user@acme.com", "reportId": "abc123", "intent": "edit" }'
# Response: { "status": "sent", "expiresIn": 300 }
3. Confirmar e obter token de edição#
curl -X POST https://server.com/api/v1/edit/confirm \
-H "Content-Type: application/json" \
-d '{ "email": "user@acme.com", "reportId": "abc123", "code": "482910", "intent": "edit" }'
# Response: { "token": "eyJ...<payload>.<sig>", "expiresAt": "..." }
O Studio armazena o token e libera a interface de edição pelo tempo configurado em EDIT_TOKEN_EXPIRATION.
4. Solicitar OTP de salvamento#
Ao salvar, o Studio repete o fluxo com intent: "save":
curl -X POST https://server.com/api/v1/edit/verify \
-d '{ ..., "intent": "save" }'
curl -X POST https://server.com/api/v1/edit/confirm \
-d '{ ..., "intent": "save" }'
# → saveToken com TTL de SAVE_TOKEN_EXPIRATION segundos
5. Salvar o relatório#
curl -X PUT https://server.com/api/v1/reports/abc123 \
-H "X-Edit-Token: <saveToken>" \
-H "Content-Type: application/json" \
-d '{ "name": "Nome", "definitionJson": "{...}" }'
Formato do token#
O token é composto por dois segmentos separados por .:
base64url(payload).hmac_sha256
O payload é um JSON com:
{
"reportId": "uuid-do-relatorio",
"email": "user@acme.com",
"intent": "edit",
"exp": 1713456000000
}
exp é um timestamp em milissegundos (não segundos). O servidor rejeita tokens expirados, com signature inválida, intent diferente de
"save" (no PUT) ou reportId diferente do recurso acessado.
Segurança#
| Proteção | Detalhe |
|---|---|
| OTP hashing | SHA-256 — código nunca armazenado em plaintext |
| Comparação de tokens | Timing-safe (evita timing attacks) |
| Token bound ao relatório | reportId no payload — token de um relatório não serve para outro |
| Token bound ao intent | Token edit não aceito em PUT /reports/:id |
| Expiração curta para save | Default 5 minutos — reduz janela de uso indevido |
| Segredo persistente | Configurar EDIT_TOKEN_SECRET para que tokens sobrevivam a reinícios |
| Auditoria |
Eventos
edit_verify_requested
,
edit_identity_rejected
,
edit_otp_sent
,
edit_otp_failed
(ver
Segurança → Auditoria
)
|