Skip to main content

Segurança

Token Vault

Tokens sensíveis nunca aparecem nas respostas da IA. O sistema intercepta padrões conhecidos e substitui por referências opacas:
PadrãoExemploSubstituição
b0_tok_*Tokens de conta BuildZero[TOKEN_REF_0]
EAA*Access tokens do Meta/Facebook[TOKEN_REF_1]
Os tokens reais só são resolvidos no momento da entrega final da mensagem ao Telegram, depois que a IA já terminou de processar.

Autenticação entre serviços

  • QStash HMAC-JWT em todas as mensagens do event bus — cada serviço verifica a assinatura
  • Session tokens JWT com expiração de 5 minutos — emitidos pelo gate, validados pelo AI Worker
  • SERVICE_TOKEN compartilhado entre serviços para chamadas internas

API Keys

  • Prefixo b0_k_ para identificação visual
  • Armazenadas como hash SHA-256 (nunca em texto plano)
  • CRUD completo: criar, listar, revogar
  • Validação unificada: o sistema aceita JWT ou API key no mesmo endpoint

Credenciais Meta Ads

  • Tokens do Meta são trocados por versão de longa duração (60 dias) no momento da conexão
  • Armazenados no banco de dados por usuário
  • Mascarados via Token Vault durante processamento