Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCSIM: Um framework open source para autenticação e autorização, TDC Floripa 2020

Jessica Pauli de C Bonson
June 25, 2020
Technology
1
660

OCSIM: Um framework open source para autenticação e autorização, TDC Floripa 2020

OCSIM é a solução desenvolvida pelo Olist para melhorar a performance e segurança das nossas APIs. É um framework open source, construído sobre o Django REST framework. Nessa palestra vou apresentar como o OCSIM foi desenvolvido, as lições aprendidas e como usá-lo para melhorar a autenticação e autorização de APIs.

Jessica Pauli de C Bonson

June 25, 2020
Tweet

More Decks by Jessica Pauli de C Bonson

See All by Jessica Pauli de C Bonson
Práticas para Acelerar o Desenvolvimento de Software - SyncTech @ MercadoLivre
jpbonson
0
55
Um trabalho de montar quebra-cabeças, {reprograma}, 2022
jpbonson
0
32
Complexity Hell: Técnicas para lidar com microserviços legados, iFood Lunch & Learn
jpbonson
0
80
O que fazer quando microserviços se tornam monstrinhos? [revisado], TDC Innovation, Stadium
jpbonson
0
130
Complexity Hell: Quando o produto se torna maior que a arquitetura, TDC Connections 2022
jpbonson
1
96
Strategies for Evolving Architectures, TDC Future 2021
jpbonson
0
88
O que fazer quando microserviços se tornam monstrinhos?, TDC Future 2021
jpbonson
2
190
O que fazer quando o sistema se torna um monstrinho?, PythonBrasil 2021
jpbonson
1
130
Migrações de dados sem downtimes! Truques e lições aprendidas com PostgreSQL na Olist, TDC Porto Alegre 2020
jpbonson
0
150

Other Decks in Technology

See All in Technology
データ分析力を高めるSQL研修サービス『SQL Everyone』
hikarut
1
380
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
380
[2024년 5월 세미나] 생성형 AI와 함께하는 데이터 분석가 커리어
datarian
0
1.2k
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
5
38k
試作とデモンストレーション / Prototyping and Demonstrations
ks91
PRO
0
160
The depthes of profiling Ruby - RubyKaigi 2024
osyoyu
0
140
DevRelによる信頼構築とデータ駆動で変わるエンジニア採用 / DevRel Trust Building to Data Driven Engineering Hiring
bobtani
1
130
NewSQL Landscape
oracle4engineer
PRO
5
3.2k
TiDBにおけるテーブル設計と最適化の事例
cygames
0
790
Password cracking: past, present, future
openwall
0
250
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
36k
TypescriptでのContextualな構造化ロギングと社内全体への導入
leveragestech
3
570

Featured

See All Featured
Facilitating Awesome Meetings
lara
43
5.6k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
9
1.3k
Navigating Team Friction
lara
179
13k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
21
1.6k
jQuery: Nuts, Bolts and Bling
dougneiner
60
7.2k
Design by the Numbers
sachag
274
18k
Practical Orchestrator
shlominoach
183
9.8k
RailsConf 2023
tenderlove
9
580
Raft: Consensus for Rubyists
vanstee
133
6.3k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
660
120k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
226
51k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.9k

Transcript

  1. OCSIM Um framework open source para autenticação e autorização Jéssica

    Bonson Principal Engineer no Olist TDC Floripa 2020, Trilha Python

  2. Jéssica Pauli de C Bonson • +-8 anos de exp

    em pesquisa/desenvolvimento • graduação/mestrado em Ciências da Computação • foco em dev backend, machine learning e big data Jogos RPG Canto Hobbies:

  3. Maior loja nos principais marketplaces do Brasil. Arquitetura em microsserviços

    e serverless. Python. Go. PostgreSQL. AWS. Heroku. 20+ APIs 120+ serviços 3m+ produtos 30k+ logistas 10m+ anúncios 200k+ pedidos em maio/2020

  4. O que é autenticação e autorização?

  5. Tipos de Autenticação de APIs • Basic curl "https://example.com/" -H

    "Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ="

  6. Tipos de Autenticação de APIs • Basic curl "https://example.com/" -H

    "Authorization: Basic username:password"

  7. Tipos de Autenticação de APIs • API Key curl "https://example.com/"

    -H "Authorization: Token 7h2aa9d9172f329b1k67113a9f5cc9ns2f”

  8. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISIs ImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C7 5osbmwwshQNRC7frWUYrqaTjTpza2y4"

  9. OAuth 2.0: Authorization Code

  10. None

  11. OAuth 2.0: Resource Owner Password Credentials

  12. OAuth 2.0: Client Credentials

  13. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISI sImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C 75osbmwwshQNRC7frWUYrqaTjTpza2y4"

  14. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISIs ImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C7 5osbmwwshQNRC7frWUYrqaTjTpza2y4" Formato: header.payload.signature

  15. Tokens JWT (JSON Web Token) • Header {"typ": "JWT", "alg":

    "HS256"} • Payload {"message": "JWT Rules!", "iat": 1459448119, "exp": 1459454519} • Signature Valida que o token não foi alterado e é de origem confiável

  16. OAuth 2.0 + Token JWT

  17. OpenID Connect (OIDC) OAuth 2.0 + ID Token (Token JWT)

    + Endpoints (API HTTP RESTful)

  18. OpenID Connect (OIDC): ID Token { "iss": "https://server.example.com", "sub": "NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs",

    "aud": "https://api.example.org", "exp": 1311281970, "iat": 1311280970 }

  19. Arquitetura do Olist

  20. Tipos de Autenticação de APIs • API Key curl "https://example.com/"

    -H "Authorization: Token 7h2aa9d9172f329b1k67113a9f5cc9ns2f”

  21. OpenID Connect (OIDC) OAuth 2.0 + ID Token (Token JWT)

    + Endpoints (API HTTP RESTful)

  22. Vantagens • Melhor performance das APIs • Maior segurança das

    APIs • Rastreabilidade • Permissionamento

  23. Características da Arquitetura • APIs usam o Django Rest Framework

    (DRF) • Usamos microserviços ◦ 20+ APIs ◦ 100+ serviços

  24. Requisitos • Facilidade de instalação • Retrocompatibilidade • Token auto-contido

    • Não reinventar a roda

  25. OCSIM • Foi construído em cima do django-oauth-toolkit, a biblioteca

    recomendada pelo Django Rest Framework (DRF), que implementa o OAuth 2.0 • Adicionamos suporte ao padrão OIDC • Solução pronta para uso

  26. O que é o OCSIM?

  27. Um Identity Manager composto por: • Authorization Server • Biblioteca

    para integração de APIs em DRF • Autenticador Usado há quase 1 ano em produção. Ainda está em desenvolvimento.

  28. Authorization Server Endpoints, Banco de Dados, Comandos

  29. Comandos: Criar Aplicação python ocsim/manage.py applications create --name "dummy-service" --client-type="confidential"

    --auth-grant-type="client-credentials" --organization-name "Olist" Application: dummy-service Client ID: 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE Client Secret: mOiUxPoyNfFure5cZwsL8dFkJjg2lBiW18TC08bo1vLuGjA2e48XuAV4LEed PBVzH7Hw30MtoyjJqvEJylw025IvPtxFpsM7ZOCMHTbZVez2yxz81ndqVlJ DAZWbdKoZ

  30. Comandos: Criar Permissão python ocsim/manage.py permissions create --name="Dummy API: Get

    product" --orn="orn:dummy-api:products:retrieve" Permission created. NAME: Dummy API: Get product ORN: orn:dummy-api:products:retrieve

  31. Comandos: Aplicação com Permissões python ocsim/manage.py applications add-permission --client-id 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE

    --orn orn:dummy-api:products:retrieve python ocsim/manage.py applications remove-permission --client-id 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE --orn orn:dummy-api:products:retrieve

  32. Como usar? curl -X POST -d "client_id=<client_id>" -d "client_secret=<client_secret>" -d

    "grant_type=client_credentials" https://example.com/o/token/ {"id_token": "<token>", "token_type": "Bearer", "expires_in": 3600} https://example.com/o/token/

  33. Setup Adicionar a variável de ambiente: • OIDC_RSA_PRIVATE_KEY (ou obtê-la

    do AWS Secrets) • Instalação de dependências • Criação do banco de dados Postgres • Configuração no Heroku

  34. Biblioteca Validação de tokens na API

  35. Setup Adicionar as variáveis de ambiente: OIDC_RSA_PUBLIC_KEY e API_NAME Alterar

    no REST_FRAMEWORK do settings.py: "DEFAULT_AUTHENTICATION_CLASSES": ( "ocsim_drf.authentication.OCSIMAuthentication", ), "DEFAULT_PERMISSION_CLASSES": ( "ocsim_drf.permissions.ORNPermission", ),

  36. Debates

  37. • Tokens criptografados? (JWE) • O que fazer com a

    autenticação por API Key? • Como invalidar um token? • Impacto na performance de um aplicativo • Tempo de expiração

  38. Próximos Passos

  39. Valeu! @jpbonson @jessica.bonson

  40. Referências https://auth0.com/learn/token-based-authentication-made-easy/ https://thiagolima.blog.br/parte-3-seguran%C3%A7a-em-apis-restful-a780bd9f186a https://oauth.net/2/ https://developer.okta.com/blog/2017/06/21/what-the-heck-is-oauth https://medium.com/google-cloud/understanding-oauth2-and-building-a-basic-authorization-server-o f-your-own-a-beginners-guide-cf7451a16f66 https://connect2id.com/learn/openid-connect https://openid.net/specs/openid-connect-core-1_0.html https://auth0.com/docs/protocols/oidc

  41. Referências https://blog.bearer.sh/the-three-most-common-api-authentication-methods/ https://nordicapis.com/3-common-methods-api-authentication-explained/ https://nordicapis.com/why-api-keys-are-not-enough/ https://nordicapis.com/api-security-oauth-openid-connect-depth/ https://nordicapis.com/how-to-control-user-identity-within-microservices/ https://swagger.io/docs/specification/authentication/bearer-authentication/ https://medium.com/@darutk/understanding-id-token-5f83f50fa02e