Upgrade to Pro — share decks privately, control downloads, hide ads and more …

APIs seguras com OAuth2

Tony Messias
December 18, 2014
Programming
0
130

APIs seguras com OAuth2

Uma introdução simplificada dos principais conceitos do OAuth2 para o segundo encontro do Maceió DEV Meetup!

Tony Messias

December 18, 2014
Tweet

More Decks by Tony Messias

See All by Tony Messias
Hotwire: Aplicações Web Modernas e Minimalistas
tonysm
0
160
Introduction to Kubernetes
tonysm
0
56
Phoenix for Laravel Developers
tonysm
0
790
Turbolinks
tonysm
0
110
Queues & Async Apps
tonysm
0
100
ELK Stack and Application Discovery
tonysm
0
140
Laravel's Ecosystem
tonysm
0
130
Command-Oriented Architecture
tonysm
3
360
Elasticsearch
tonysm
0
140

Other Decks in Programming

See All in Programming
ESLint Rule により事業, 技術ドメインに沿った制約と誓約を敷衍させるアプローチのすゝめ
shinyaigeek
1
2.7k
LangChainの現在とv0.3にむけて
os1ma
3
650
全力の跳躍を捉える計測アプリを作る
ogijun2018
0
1k
オートマトン学習しろ / Do automata learning
makenowjust
3
100
マイグレーションコード自作して File-Based Routing に自動移行!! ~250 ページの歴史的経緯を添えて~
cut0
1
240
From Spring Boot 2 to Spring Boot 3 with Java 22 and Jakarta EE
ivargrimstad
0
940
デザインシステムとコンポーネント指向によるフロントエンド開発プロセスの革新 / Innovation in Frontend Development Processes through Design Systems and Component-Oriented Architecture
nrslib
7
5k
New Order in Cascade Sorting Order
mugi_uno
3
2.5k
フロントエンドのテストからアクセシビリティをしれっと広めていく
nano72mkn
3
700
1人で挑むSwiftコンパイラ 〜型システム入門編〜
s_shimotori
0
310
Playwrightから始めるVisual Regression Testingのススメ by とっと
totto2727
2
1.8k
TypeScriptで 負荷テストを書こう 〜k6のシングルバイナリの秘密〜
dora1998
7
2.8k

Featured

See All Featured
How STYLIGHT went responsive
nonsquared
93
5.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
42
2k
How to Think Like a Performance Engineer
csswizardry
15
910
Art, The Web, and Tiny UX
lynnandtonic
294
20k
Design by the Numbers
sachag
277
19k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
122
18k
What’s in a name? Adding method to the madness
productmarketing
PRO
21
3k
GraphQLの誤解/rethinking-graphql
sonatard
65
9.7k
Optimizing for Happiness
mojombo
375
69k
Gamification - CAS2011
davidbonilla
79
4.9k
Build your cross-platform service in a week with App Engine
jlugia
228
18k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
278
13k

Transcript

  1. APIs seguras com OAuth2 Maceió Dev Meetup #2

  2. Tony Messias Desenvolvedor Web há +4 anos Análise de Sistemas

    CESMAC @tony0x01

  3. Cliente acessa recursos usando um Access Token obtido através de

    um fluxo de autorização

  4. Fim :)

  5. OAuth2 > OAuth1(a)

  6. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  7. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  8. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  9. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  10. Mas o líder do projeto (OAuth2) deixou o projeto

  11. Inseguro se não usar SSL/TSL

  12. Inseguro se não usar SSL/TSL correto!

  13. None

  14. Alguns termos:

  15. Resource Owner também conhecido como “usuário”

  16. Resource Server a sua API

  17. Client uma aplicação usando o resource server a mando do

    resource owner

  18. Client sua aplicação {web,mobile} que utiliza a API

  19. Authorization Server Uma aplicação que fornece os Access Tokens aos

    clients

  20. Fluxos de Autorização

  21. Authorization Code o mais comum, com toda a “dança” de

    redirects

  22. Bob usa uma aplicação web

  23. Bob tem recursos nessa aplicação web

  24. Bob quer usar esses recursos em uma aplicação de terceiros

  25. <a href=”https://oauth2server.com/auth?response_type=code& client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=photos”> Login with Facebook </a>

  26. None

  27. Bob é redirecionado de volta para a aplicação com um

    código https://oauth2client.com/callback?code=AUTH_CODE_HERE

  28. A aplicação, então, utiliza esse código para solicitar um Access

    Token

  29. POST https://api.oauth2server.com/token grant_type=authorization_code& code=AUTH_CODE_HERE& redirect_uri=REDIRECT_URI& client_id=CLIENT_ID& client_secret=CLIENT_SECRET Reponse: { "access_token":"RsT5OjbzRn430zqMLgV3Ia"

    }

  30. Esse fluxo não é indicado se o client for SEU

  31. Resource Owner Credentials

  32. Mas o propósito do OAuth não é nunca utilizar credenciais

    do usuário?

  33. Mais ou menos…

  34. O propósito, na verdade, é você não precisar fornecer seu

    username e password para terceiros

  35. Mas e quando VOCÊ que desenvolveu o client que consome

    a SUA API?

  36. Não faz sentido ter um botão “login with X” quando

    o X é a sua própria aplicação
  37. None

  38. Alice fornece seu usuário e senha

  39. O client (aplicação web) utiliza essas credenciais para conseguir um

    Access Token

  40. POST https://api.oauth2server.com/token grant_type=password& username=USERNAME& password=PASSWORD& client_id=CLIENT_ID Response: { “access_token”: “RsT5OjbzRn430zqMLgV3Ia”

    }

  41. É isso! Sem mais redirects.

  42. Client Credentials as máquinas também precisam de autorização!

  43. Paracido com o Resource Owner Credentials, mas para aplicações

  44. Exemplo: Microserviços POST https://api.oauth2server.com/token? grant_type=client_credentials& client_id=CLIENT_ID& client_secret=CLIENT_SECRET

  45. Refresh Token porque Access Token deve ter um tempo de

    vida

  46. Você pode fornecer, junto com o Access Token, um Refresh

    Token e um TTL

  47. Adiciona mais complexidade aos clients

  48. POSTahttps://api.oauth2server.com/token? grant_type=refresh_token&refresh_token=TOKEN { "access_token": “ACCESS_TOKEN”, "expires_at": timestamp, "refresh_token": “REFRESH_TOKEN” }

  49. Sugestões

  50. Envie os Access Token via Header

  51. None

  52. Cuidado com Single Page Apps

  53. fim! agora é sério!

  54. Referências ➔ https://speakerdeck.com/jacksonj04/oauth-101 ➔ https://leanpub.com/build-apis-you-wont-hate ➔ http://tools.ietf.org/html/rfc6749 ➔ http://alexbilbie.com/ ➔

    http://oauth2.thephpleague.com/ ➔ https://github.com/reddit/reddit/wiki/OAuth2

  55. Referências ➔ https://aaronparecki. com/articles/2012/07/29/1/oauth2-simplified ➔ http://bshaffer.github.io/oauth2-server-php- docs/overview/grant-types/ ➔ http://pt.slideshare.net/TiagoMarchettiDolphi/oauth2- uma-abordagem-para-segurana-de-aplicaes-e-apis-

    rest-devcamp-2014