Permissões e segurança

Segurança no NEO envolve autenticação, autorização, proteção de dados e cuidado com o front-end.

Estrutura de segurança

A plataforma normalmente oferece:

• autenticação de usuários;

• sessões;

• chaves de API;

• roles;

• permissões por DocType;

• User Permissions;

• permlevels;

• trilha de auditoria.

Permissões por DocType

Permissões típicas:

• Read

• Write

• Create

• Delete

• Submit

• Cancel

• Amend

• Report

• Export

• Import

• Share

• Print

• Email

Permission Level

Use permlevel para campos sensíveis dentro do mesmo DocType, por exemplo valores financeiros ou campos de aprovação.

User Permissions

Restringem o universo de dados acessível por usuário, como empresa, filial, cliente ou território.

Backend como última linha de defesa

Mesmo que a UI esconda botão ou campo, o backend ainda deve validar:

• leitura;

• alteração;

• operação;

• payload recebido;

• contexto do usuário.

Segurança em métodos e APIs

• valide o documento-alvo;

• cheque permissões;

• evite ignore_permissions=True;

• não retorne dados além do necessário;

• sanitize entradas quando houver HTML ou upload.

Segurança no front-end do NEO

Riscos recorrentes:

• confiar em campo oculto para autorização;

• expor segredo em JS;

• renderizar HTML inseguro;

• publicar método amplo demais.

Portal e website

Portal requer cuidado redobrado porque atende usuários externos. Garanta que cada usuário veja apenas seus próprios dados e que arquivos privados não sejam tratados como públicos.

Checklist de revisão

• o backend valida a ação;

• o método retornou apenas o necessário;

• o portal respeita a identidade do usuário;

• scripts cliente não contêm segredo;

• roles e User Permissions foram testados.