Ir para o conteúdo
Voltar aos projetos

Open source · API · auth · 2026 · Open source

Fastify Secure API

API de referência com sessão HttpOnly assinada, CSRF timing-safe, RBAC, rate limit e senhas com scrypt.

Galeria - Fastify Secure API

Problema

Auth “de tutorial” (JWT no localStorage, sem CSRF, sem rate limit) vaza em produção no primeiro bot.

Solução

API Fastify com cookie de sessão assinado, double-submit CSRF com compare timing-safe, papéis, body limit e rate limit - demo de login/health pronta no README.

  • Sessão em cookie HttpOnly assinado.
  • CSRF com comparação timing-safe.
  • RBAC e rate limit na borda.
  • Hash de senha com scrypt.
  • README com curl de health e login.

Resultado

Checklist de segurança em código legível: o esqueleto que eu uso quando o freela pede “API com login de verdade”.

Outros cases