O objetivo desse documento é explicitar os mecanismos de proteção de dados, utilizados pela TOTVS, em integrações realizadas via API.
Atualmente é possível expor seus serviços de três formas homologadas, da mais recomendada até a menos, respectivamente:
Ao expor as APIs diretamente na internet, sem a camada de proteção garantida nos TOTVS Apps ou API Manager, permita apenas requisições de origens confiáveis, através da restrição de IPs.
Para aplicações publicadas na infraestrutura TOTVS Apps, é utilizado o framework de segurança OAuth2, através de JWT. O identity provider é RAC.
Leia sobre arquitetura de autorização
Para aplicações expostas na internet via APIM, é utilizado o framework de segurança OAuth2, através de JWT. O identity provider é Fluig Identity.
Todos os aplicativos da TOTVS permitem autenticação BASIC.
Leia mais sobre autenticação 'BASIC'
Toda comunicação ocorre via HTTPS, garantindo uma conexão criptografada através do protocolo SSL/TLS.