14-16 Mar 2026
Voltar ao Plano

Adicionar [Authorize] ao DeviceTokenController

ACT-2.1
Curto PrazoAltaEsforco: PComplexidade: BaixaParalelizavel
Por que e urgente

Endpoint de escrita no banco acessivel sem autenticacao. Permite injecao de tokens FCM arbitrarios e busca de tokens validos

Risco de nao fazer

Interceptacao de notificacoes push, negacao de servico por injecao de tokens invalidos

Modulos Impactados

aspnet-core/src/cargo_fleet.HttpApi/DeviceToken/DeviceTokenController.cs

Passos de Implementacao

  1. 1Adicionar `[Authorize]` ao controller
  2. 2Criar `CreateDeviceTokenDto` em Application.Contracts (substituir entidade DeviceToken como parametro)
  3. 3Associar token ao `CurrentUser.Id` e `CurrentTenant.Id` no service
  4. 4Remover ou restringir `GetListAsync` a roles administrativas
  5. 5Testar no app mobile (verificar que o token JWT e enviado no header)

Achados Relacionados

HIGH-05
AnteriorACT-1.7 Verificar Firebase Security Rules
ProximoCriar indices na tabela AppOfertas ACT-2.2