Upgrade to Pro — share decks privately, control downloads, hide ads and more …

APIs seguras com OAuth2

Tony Messias
December 18, 2014
Programming
0
130

APIs seguras com OAuth2

Uma introdução simplificada dos principais conceitos do OAuth2 para o segundo encontro do Maceió DEV Meetup!

Tony Messias

December 18, 2014
Tweet

More Decks by Tony Messias

See All by Tony Messias
Hotwire: Aplicações Web Modernas e Minimalistas
tonysm
0
170
Introduction to Kubernetes
tonysm
0
58
Phoenix for Laravel Developers
tonysm
0
790
Turbolinks
tonysm
0
120
Queues & Async Apps
tonysm
0
100
ELK Stack and Application Discovery
tonysm
0
150
Laravel's Ecosystem
tonysm
0
130
Command-Oriented Architecture
tonysm
3
360
Elasticsearch
tonysm
0
140

Other Decks in Programming

See All in Programming
flutterkaigi_2024.pdf
kyoheig3
0
130
Streams APIとTCPフロー制御 / Web Streams API and TCP flow control
tasshi
2
350
見せてあげますよ、「本物のLaravel批判」ってやつを。
77web
7
7.8k
Compose 1.7のTextFieldはPOBox Plusで日本語変換できない
tomoya0x00
0
190
RubyLSPのマルチバイト文字対応
notfounds
0
120
エンジニアとして関わる要件と仕様(公開用)
murabayashi
0
290
AI時代におけるSRE、
あるいはエンジニアの生存戦略
pyama86
6
1.2k
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
430
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
110
Macとオーディオ再生 2024/11/02
yusukeito
0
370
Hotwire or React? ~アフタートーク・本編に含めなかった話~ / Hotwire or React? after talk
harunatsujita
1
120
Figma Dev Modeで変わる!Flutterの開発体験
watanave
0
130

Featured

See All Featured
Optimizing for Happiness
mojombo
376
70k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Music & Morning Musume
bryan
46
6.2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
A better future with KSS
kneath
238
17k
Site-Speed That Sticks
csswizardry
0
26
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Building an army of robots
kneath
302
43k
KATA
mclloyd
29
14k
Faster Mobile Websites
deanohume
305
30k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
96

Transcript

  1. APIs seguras com OAuth2 Maceió Dev Meetup #2

  2. Tony Messias Desenvolvedor Web há +4 anos Análise de Sistemas

    CESMAC @tony0x01

  3. Cliente acessa recursos usando um Access Token obtido através de

    um fluxo de autorização

  4. Fim :)

  5. OAuth2 > OAuth1(a)

  6. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  7. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  8. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  9. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  10. Mas o líder do projeto (OAuth2) deixou o projeto

  11. Inseguro se não usar SSL/TSL

  12. Inseguro se não usar SSL/TSL correto!

  13. None

  14. Alguns termos:

  15. Resource Owner também conhecido como “usuário”

  16. Resource Server a sua API

  17. Client uma aplicação usando o resource server a mando do

    resource owner

  18. Client sua aplicação {web,mobile} que utiliza a API

  19. Authorization Server Uma aplicação que fornece os Access Tokens aos

    clients

  20. Fluxos de Autorização

  21. Authorization Code o mais comum, com toda a “dança” de

    redirects

  22. Bob usa uma aplicação web

  23. Bob tem recursos nessa aplicação web

  24. Bob quer usar esses recursos em uma aplicação de terceiros

  25. <a href=”https://oauth2server.com/auth?response_type=code& client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=photos”> Login with Facebook </a>

  26. None

  27. Bob é redirecionado de volta para a aplicação com um

    código https://oauth2client.com/callback?code=AUTH_CODE_HERE

  28. A aplicação, então, utiliza esse código para solicitar um Access

    Token

  29. POST https://api.oauth2server.com/token grant_type=authorization_code& code=AUTH_CODE_HERE& redirect_uri=REDIRECT_URI& client_id=CLIENT_ID& client_secret=CLIENT_SECRET Reponse: { "access_token":"RsT5OjbzRn430zqMLgV3Ia"

    }

  30. Esse fluxo não é indicado se o client for SEU

  31. Resource Owner Credentials

  32. Mas o propósito do OAuth não é nunca utilizar credenciais

    do usuário?

  33. Mais ou menos…

  34. O propósito, na verdade, é você não precisar fornecer seu

    username e password para terceiros

  35. Mas e quando VOCÊ que desenvolveu o client que consome

    a SUA API?

  36. Não faz sentido ter um botão “login with X” quando

    o X é a sua própria aplicação
  37. None

  38. Alice fornece seu usuário e senha

  39. O client (aplicação web) utiliza essas credenciais para conseguir um

    Access Token

  40. POST https://api.oauth2server.com/token grant_type=password& username=USERNAME& password=PASSWORD& client_id=CLIENT_ID Response: { “access_token”: “RsT5OjbzRn430zqMLgV3Ia”

    }

  41. É isso! Sem mais redirects.

  42. Client Credentials as máquinas também precisam de autorização!

  43. Paracido com o Resource Owner Credentials, mas para aplicações

  44. Exemplo: Microserviços POST https://api.oauth2server.com/token? grant_type=client_credentials& client_id=CLIENT_ID& client_secret=CLIENT_SECRET

  45. Refresh Token porque Access Token deve ter um tempo de

    vida

  46. Você pode fornecer, junto com o Access Token, um Refresh

    Token e um TTL

  47. Adiciona mais complexidade aos clients

  48. POSTahttps://api.oauth2server.com/token? grant_type=refresh_token&refresh_token=TOKEN { "access_token": “ACCESS_TOKEN”, "expires_at": timestamp, "refresh_token": “REFRESH_TOKEN” }

  49. Sugestões

  50. Envie os Access Token via Header

  51. None

  52. Cuidado com Single Page Apps

  53. fim! agora é sério!

  54. Referências ➔ https://speakerdeck.com/jacksonj04/oauth-101 ➔ https://leanpub.com/build-apis-you-wont-hate ➔ http://tools.ietf.org/html/rfc6749 ➔ http://alexbilbie.com/ ➔

    http://oauth2.thephpleague.com/ ➔ https://github.com/reddit/reddit/wiki/OAuth2

  55. Referências ➔ https://aaronparecki. com/articles/2012/07/29/1/oauth2-simplified ➔ http://bshaffer.github.io/oauth2-server-php- docs/overview/grant-types/ ➔ http://pt.slideshare.net/TiagoMarchettiDolphi/oauth2- uma-abordagem-para-segurana-de-aplicaes-e-apis-

    rest-devcamp-2014