Como o gateway lida com chamadas a rotas não mapeadas?

Desde 28 de abril de 2025, é possível configurar sua API para que o Gateway aceite apenas requisições que correspondam exatamente às rotas cadastradas no Manager. Ou seja, se determinada rota não estiver definida, as requisições feitas a ela serão bloqueadas e o Gateway retornará o erro 404 (rota não encontrada).

Anteriormente, o Gateway aceitava caminhos adicionais após a rota mapeada. Por exemplo, mesmo que a rota configurada fosse GET /conta-corrente, uma chamada para /conta-corrente/saldo também era encaminhada ao backend com o trecho /saldo tratado como um extraPath.

Como posso ativar o bloqueio de rotas não mapeadas nas minhas APIs?

Para novos clientes, essa configuração já vem habilitada por padrão. Portanto, no caso desses clientes, nenhuma ação é necessária.

Para clientes que já utilizavam o API Manager em versões anteriores (como as versões da API Platform 4.x, por exemplo), essa configuração não está ativa por padrão, exceto se o cliente já tiver solicitado essa alteração anteriormente. Nesse caso, para habilitar essa funcionalidade, é necessário entrar em contato com o nosso time de suporte.

A configuração será então aplicada via:

gateway.matching.exact-path = true

Ativada a configuração, qualquer requisição que não tenha uma rota explicitamente mapeada no Manager será automaticamente rejeitada com erro 404.

Por que essa funcionalidade é importante?

Esse novo comportamento aumenta a segurança e a previsibilidade do roteamento, sendo especialmente útil em cenários com:

  • Exigências de compliance;

  • Ambientes com múltiplas aplicações expostas por um único backend;

  • Riscos de exposição de endpoints administrativos ou privados;

  • Necessidade de controle mais rigoroso sobre os caminhos válidos da API.

Isso significa que havia uma vulnerabilidade?

Não. O comportamento padrão é semelhante ao de outros gateways de mercado, como o {proxy+} do AWS API Gateway. Ele foi projetado para cenários com rotas dinâmicas. O novo recurso apenas oferece um nível adicional de controle, alinhado às boas práticas de segurança.

Essa mudança afeta minhas APIs existentes?

Não. O comportamento padrão das suas APIs continua o mesmo. A nova configuração só será aplicada mediante solicitação e não impacta rotas já configuradas.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]