Gostaria de deixar como sugestão a proteção (via autenticação) dos links de XMLs e PDFs emitidos pela API Focus NFe, pois, atualmente qualquer um que obtiver acesso aos links, consegue fazer o download do conteúdo completo dos documentos, sem que nenhuma autenticação seja fornecida.
Nossa sugestão leva em conta o fato de que, no próprio ambiente nacional da NFe é necessária autenticação para o download dos documentos completos.
Sera que ha mesmo essa necessidade? Faço esta pergunta por se tratar de um endereço “privado”, digo é um link que em teoria não deveria ser apresentado ao seu cliente e sim seu software, fazer download internamente da nota emitida ou pelo menos um “proxy” para apresentar o Danfe e/ou nota fiscal para o cliente.
O site do governo a qual você cita é um site publico que incluem todas as notas fiscais emitidas por todos os estados. A focus possui apenas notas fiscais emitidas por eles, enviadas para eles (xml já autorizado, enviado através da api), e baixadas por eles (manifesto), além disso, a focus não disponibiliza (e nem devem), uma busca através de formulário publico como o citado site do governo.
De toda forma, caso essa sugestão entre em vigor, a meu ver, deveria ser opcional através de uma parametrização, a fim de evitar quebras de sistemas que, até o momento, não realizam tal validação.
Oi pessoal,
Nosso entendimento vai em sintonia com o @nicolahsss . A maior parte dos nossos clientes prefere um link de fácil acesso e adicionar uma autenticação quebraria boa parte das implementações.
De qualquer forma, a chave de acesso possui um pequeno trecho aleatório de 8 dígitos. A NFSe também possui o código de verificação. Pode não ser a melhor entropia mas já ajuda a evitar acesso indevido.