Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCSIM: Um framework open source para autenticaç...

Jessica Pauli de C Bonson
June 25, 2020
Technology
1
720

OCSIM: Um framework open source para autenticação e autorização, TDC Floripa 2020

OCSIM é a solução desenvolvida pelo Olist para melhorar a performance e segurança das nossas APIs. É um framework open source, construído sobre o Django REST framework. Nessa palestra vou apresentar como o OCSIM foi desenvolvido, as lições aprendidas e como usá-lo para melhorar a autenticação e autorização de APIs.

Jessica Pauli de C Bonson

June 25, 2020
Tweet

More Decks by Jessica Pauli de C Bonson

See All by Jessica Pauli de C Bonson
Acelerando o Desenvolvimento de Software - Python Sul 2024
jpbonson
2
70
Práticas para Acelerar o Desenvolvimento de Software - SyncTech @ MercadoLivre
jpbonson
0
92
Um trabalho de montar quebra-cabeças, {reprograma}, 2022
jpbonson
0
40
Complexity Hell: Técnicas para lidar com microserviços legados, iFood Lunch & Learn
jpbonson
0
96
O que fazer quando microserviços se tornam monstrinhos? [revisado], TDC Innovation, Stadium
jpbonson
0
140
Complexity Hell: Quando o produto se torna maior que a arquitetura, TDC Connections 2022
jpbonson
1
120
Strategies for Evolving Architectures, TDC Future 2021
jpbonson
0
98
O que fazer quando microserviços se tornam monstrinhos?, TDC Future 2021
jpbonson
2
190
O que fazer quando o sistema se torna um monstrinho?, PythonBrasil 2021
jpbonson
1
140

Other Decks in Technology

See All in Technology
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
3
630
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
310
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
200
CDCL による厳密解法を採用した MILP ソルバー
imai448
3
140
プロダクト活用度で見えた真実 ホリゾンタルSaaSでの顧客解像度の高め方
tadaken3
0
180
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
160
VideoMamba: State Space Model for Efficient Video Understanding
chou500
0
190
SREが投資するAIOps ~ペアーズにおけるLLM for Developerへの取り組み~
takumiogawa
1
430
『Firebase Dynamic Links終了に備える』 FlutterアプリでのAdjust導入とDeeplink最適化
techiro
0
130
Can We Measure Developer Productivity?
ewolff
1
150
OCI Network Firewall 概要
oracle4engineer
PRO
0
4.2k
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110

Featured

See All Featured
Designing for Performance
lara
604
68k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Typedesign – Prime Four
hannesfritz
40
2.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
A Tale of Four Properties
chriscoyier
156
23k
Building Flexible Design Systems
yeseniaperezcruz
327
38k
RailsConf 2023
tenderlove
29
900
Teambox: Starting and Learning
jrom
133
8.8k
Designing for humans not robots
tammielis
250
25k
The World Runs on Bad Software
bkeepers
PRO
65
11k

Transcript

  1. OCSIM Um framework open source para autenticação e autorização Jéssica

    Bonson Principal Engineer no Olist TDC Floripa 2020, Trilha Python

  2. Jéssica Pauli de C Bonson • +-8 anos de exp

    em pesquisa/desenvolvimento • graduação/mestrado em Ciências da Computação • foco em dev backend, machine learning e big data Jogos RPG Canto Hobbies:

  3. Maior loja nos principais marketplaces do Brasil. Arquitetura em microsserviços

    e serverless. Python. Go. PostgreSQL. AWS. Heroku. 20+ APIs 120+ serviços 3m+ produtos 30k+ logistas 10m+ anúncios 200k+ pedidos em maio/2020

  4. O que é autenticação e autorização?

  5. Tipos de Autenticação de APIs • Basic curl "https://example.com/" -H

    "Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ="

  6. Tipos de Autenticação de APIs • Basic curl "https://example.com/" -H

    "Authorization: Basic username:password"

  7. Tipos de Autenticação de APIs • API Key curl "https://example.com/"

    -H "Authorization: Token 7h2aa9d9172f329b1k67113a9f5cc9ns2f”

  8. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISIs ImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C7 5osbmwwshQNRC7frWUYrqaTjTpza2y4"

  9. OAuth 2.0: Authorization Code

  10. None

  11. OAuth 2.0: Resource Owner Password Credentials

  12. OAuth 2.0: Client Credentials

  13. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISI sImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C 75osbmwwshQNRC7frWUYrqaTjTpza2y4"

  14. Tipos de Autenticação de APIs • OAuth 2.0 curl "https://example.com/"

    -H "Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJtZXNzYWdlIjoiSldUIFJ1bGVzISIs ImlhdCI6MTQ1OTQ0ODExOSwiZXhwIjoxNDU5NDU0NTE5fQ.-yIVBD5b73C7 5osbmwwshQNRC7frWUYrqaTjTpza2y4" Formato: header.payload.signature

  15. Tokens JWT (JSON Web Token) • Header {"typ": "JWT", "alg":

    "HS256"} • Payload {"message": "JWT Rules!", "iat": 1459448119, "exp": 1459454519} • Signature Valida que o token não foi alterado e é de origem confiável

  16. OAuth 2.0 + Token JWT

  17. OpenID Connect (OIDC) OAuth 2.0 + ID Token (Token JWT)

    + Endpoints (API HTTP RESTful)

  18. OpenID Connect (OIDC): ID Token { "iss": "https://server.example.com", "sub": "NzbLsXh8uDCcd-6MNwXF4W_7noWXFZAfHkxZsRGC9Xs",

    "aud": "https://api.example.org", "exp": 1311281970, "iat": 1311280970 }

  19. Arquitetura do Olist

  20. Tipos de Autenticação de APIs • API Key curl "https://example.com/"

    -H "Authorization: Token 7h2aa9d9172f329b1k67113a9f5cc9ns2f”

  21. OpenID Connect (OIDC) OAuth 2.0 + ID Token (Token JWT)

    + Endpoints (API HTTP RESTful)

  22. Vantagens • Melhor performance das APIs • Maior segurança das

    APIs • Rastreabilidade • Permissionamento

  23. Características da Arquitetura • APIs usam o Django Rest Framework

    (DRF) • Usamos microserviços ◦ 20+ APIs ◦ 100+ serviços

  24. Requisitos • Facilidade de instalação • Retrocompatibilidade • Token auto-contido

    • Não reinventar a roda

  25. OCSIM • Foi construído em cima do django-oauth-toolkit, a biblioteca

    recomendada pelo Django Rest Framework (DRF), que implementa o OAuth 2.0 • Adicionamos suporte ao padrão OIDC • Solução pronta para uso

  26. O que é o OCSIM?

  27. Um Identity Manager composto por: • Authorization Server • Biblioteca

    para integração de APIs em DRF • Autenticador Usado há quase 1 ano em produção. Ainda está em desenvolvimento.

  28. Authorization Server Endpoints, Banco de Dados, Comandos

  29. Comandos: Criar Aplicação python ocsim/manage.py applications create --name "dummy-service" --client-type="confidential"

    --auth-grant-type="client-credentials" --organization-name "Olist" Application: dummy-service Client ID: 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE Client Secret: mOiUxPoyNfFure5cZwsL8dFkJjg2lBiW18TC08bo1vLuGjA2e48XuAV4LEed PBVzH7Hw30MtoyjJqvEJylw025IvPtxFpsM7ZOCMHTbZVez2yxz81ndqVlJ DAZWbdKoZ

  30. Comandos: Criar Permissão python ocsim/manage.py permissions create --name="Dummy API: Get

    product" --orn="orn:dummy-api:products:retrieve" Permission created. NAME: Dummy API: Get product ORN: orn:dummy-api:products:retrieve

  31. Comandos: Aplicação com Permissões python ocsim/manage.py applications add-permission --client-id 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE

    --orn orn:dummy-api:products:retrieve python ocsim/manage.py applications remove-permission --client-id 93pKbKujRiO8hAkdTNyf8yA2A4OEliDfbQo6kIxE --orn orn:dummy-api:products:retrieve

  32. Como usar? curl -X POST -d "client_id=<client_id>" -d "client_secret=<client_secret>" -d

    "grant_type=client_credentials" https://example.com/o/token/ {"id_token": "<token>", "token_type": "Bearer", "expires_in": 3600} https://example.com/o/token/

  33. Setup Adicionar a variável de ambiente: • OIDC_RSA_PRIVATE_KEY (ou obtê-la

    do AWS Secrets) • Instalação de dependências • Criação do banco de dados Postgres • Configuração no Heroku

  34. Biblioteca Validação de tokens na API

  35. Setup Adicionar as variáveis de ambiente: OIDC_RSA_PUBLIC_KEY e API_NAME Alterar

    no REST_FRAMEWORK do settings.py: "DEFAULT_AUTHENTICATION_CLASSES": ( "ocsim_drf.authentication.OCSIMAuthentication", ), "DEFAULT_PERMISSION_CLASSES": ( "ocsim_drf.permissions.ORNPermission", ),

  36. Debates

  37. • Tokens criptografados? (JWE) • O que fazer com a

    autenticação por API Key? • Como invalidar um token? • Impacto na performance de um aplicativo • Tempo de expiração

  38. Próximos Passos

  39. Valeu! @jpbonson @jessica.bonson

  40. Referências https://auth0.com/learn/token-based-authentication-made-easy/ https://thiagolima.blog.br/parte-3-seguran%C3%A7a-em-apis-restful-a780bd9f186a https://oauth.net/2/ https://developer.okta.com/blog/2017/06/21/what-the-heck-is-oauth https://medium.com/google-cloud/understanding-oauth2-and-building-a-basic-authorization-server-o f-your-own-a-beginners-guide-cf7451a16f66 https://connect2id.com/learn/openid-connect https://openid.net/specs/openid-connect-core-1_0.html https://auth0.com/docs/protocols/oidc

  41. Referências https://blog.bearer.sh/the-three-most-common-api-authentication-methods/ https://nordicapis.com/3-common-methods-api-authentication-explained/ https://nordicapis.com/why-api-keys-are-not-enough/ https://nordicapis.com/api-security-oauth-openid-connect-depth/ https://nordicapis.com/how-to-control-user-identity-within-microservices/ https://swagger.io/docs/specification/authentication/bearer-authentication/ https://medium.com/@darutk/understanding-id-token-5f83f50fa02e