Upgrade to Pro — share decks privately, control downloads, hide ads and more …

APIs seguras com OAuth2

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Tony Messias Tony Messias
December 18, 2014
Programming
0
140

APIs seguras com OAuth2

Uma introdução simplificada dos principais conceitos do OAuth2 para o segundo encontro do Maceió DEV Meetup!

Avatar for Tony Messias

Tony Messias

December 18, 2014
Tweet

More Decks by Tony Messias

See All by Tony Messias
Hotwire Native (and Hotwire 101) for Laravel Devs
Avatar for Tony Messias tonysm
0
92
Hotwire: Aplicações Web Modernas e Minimalistas
Avatar for Tony Messias tonysm
0
190
Introduction to Kubernetes
Avatar for Tony Messias tonysm
0
64
Phoenix for Laravel Developers
Avatar for Tony Messias tonysm
0
810
Turbolinks
Avatar for Tony Messias tonysm
0
130
Queues & Async Apps
Avatar for Tony Messias tonysm
0
110
ELK Stack and Application Discovery
Avatar for Tony Messias tonysm
0
160
Laravel's Ecosystem
Avatar for Tony Messias tonysm
0
160
Command-Oriented Architecture
Avatar for Tony Messias tonysm
3
380

Other Decks in Programming

See All in Programming
Cyrius ーLinux非依存にコンテナをネイティブ実行する専用OSー
Avatar for n4mlz n4mlz
0
130
API Platformを活用したPHPによる本格的なWeb API開発 / api-platform-book-intro
Avatar for Takashi Kanemoto ttskch
1
130
DSPy入門 Pythonで実現する自動プロンプト最適化 〜人手によるプロンプト調整からの卒業〜
Avatar for sea-turt1e seaturt1e
1
680
RAGでハマりがちな"Excelの罠"を、データの構造化で突破する
Avatar for harumi harumiweb
9
2.8k
Claude Codeセッション現状確認 2026福岡 / fukuoka-aicoding-00-beacon
Avatar for monochromegane monochromegane
4
410
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
420
守る「だけ」の優しいEMを抜けて、 事業とチームを両方見る視点を身につけた話
Avatar for Mitsui maroon8021
3
750
CSC307 Lecture 15
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
240
「抽象に依存せよ」が分からなかった新卒1年目の私が Goのインターフェースと和解するまで
Avatar for Genki-Miyakawa kurogenki
0
100
CSC307 Lecture 14
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
470
Vuetify 3 → 4 何が変わった?差分と移行ポイント10分まとめ
Avatar for kouki.miura koukimiura
0
120
どんと来い、データベース信頼性エンジニアリング / Introduction to DBRE
Avatar for nnaka2992 nnaka2992
1
270

Featured

See All Featured
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
9
36k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
220
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
210
Designing Experiences People Love
Avatar for Jonathan Moore moore
143
24k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
55
8k
Money Talks: Using Revenue to Get Sh*t Done
Avatar for Nikki Halliwell nikkihalliwell
0
180
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
2.4k
Building AI with AI
Avatar for Ines Montani inesmontani
PRO
1
790
Become a Pro
Avatar for Speaker Deck speakerdeck
PRO
31
5.8k

Transcript

  1. APIs seguras com OAuth2 Maceió Dev Meetup #2

  2. Tony Messias Desenvolvedor Web há +4 anos Análise de Sistemas

    CESMAC @tony0x01

  3. Cliente acessa recursos usando um Access Token obtido através de

    um fluxo de autorização

  4. Fim :)

  5. OAuth2 > OAuth1(a)

  6. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  7. POST /resources HTTP/1.1 Host: api.example.com Authorization: OAuth oauth_consumer_key=" lWsZaXcyujT8ErqdIlbr0Sn9LaFYNlE2eVCczyvsFKnmBHiBnVrY3xo64 ByB",

    oauth_nonce="0Sn9LaFYN", oauth_signature=" lWsZaXcyujT8ErqdIlbr0Sn9LaFY", oauth_signature_method=" HMAC-SHA1", oauth_timestamp="1418836421", oauth_token=" 96403f692107210ef11f4a02cdbce4af", oauth_version="1.0" Content-Type: application/json { "lorem" : "ipsum" }

  8. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  9. POST /resources HTTP/1.1 Host: api.example.com Authorization: Bearer vr5HmMkz123aksdmMibiJUusZwZCHueHue Content-Type: application/json

    { "lorem" : "ipsum" }

  10. Mas o líder do projeto (OAuth2) deixou o projeto

  11. Inseguro se não usar SSL/TSL

  12. Inseguro se não usar SSL/TSL correto!

  13. None

  14. Alguns termos:

  15. Resource Owner também conhecido como “usuário”

  16. Resource Server a sua API

  17. Client uma aplicação usando o resource server a mando do

    resource owner

  18. Client sua aplicação {web,mobile} que utiliza a API

  19. Authorization Server Uma aplicação que fornece os Access Tokens aos

    clients

  20. Fluxos de Autorização

  21. Authorization Code o mais comum, com toda a “dança” de

    redirects

  22. Bob usa uma aplicação web

  23. Bob tem recursos nessa aplicação web

  24. Bob quer usar esses recursos em uma aplicação de terceiros

  25. <a href=”https://oauth2server.com/auth?response_type=code& client_id=CLIENT_ID&redirect_uri=REDIRECT_URI&scope=photos”> Login with Facebook </a>

  26. None

  27. Bob é redirecionado de volta para a aplicação com um

    código https://oauth2client.com/callback?code=AUTH_CODE_HERE

  28. A aplicação, então, utiliza esse código para solicitar um Access

    Token

  29. POST https://api.oauth2server.com/token grant_type=authorization_code& code=AUTH_CODE_HERE& redirect_uri=REDIRECT_URI& client_id=CLIENT_ID& client_secret=CLIENT_SECRET Reponse: { "access_token":"RsT5OjbzRn430zqMLgV3Ia"

    }

  30. Esse fluxo não é indicado se o client for SEU

  31. Resource Owner Credentials

  32. Mas o propósito do OAuth não é nunca utilizar credenciais

    do usuário?

  33. Mais ou menos…

  34. O propósito, na verdade, é você não precisar fornecer seu

    username e password para terceiros

  35. Mas e quando VOCÊ que desenvolveu o client que consome

    a SUA API?

  36. Não faz sentido ter um botão “login with X” quando

    o X é a sua própria aplicação
  37. None

  38. Alice fornece seu usuário e senha

  39. O client (aplicação web) utiliza essas credenciais para conseguir um

    Access Token

  40. POST https://api.oauth2server.com/token grant_type=password& username=USERNAME& password=PASSWORD& client_id=CLIENT_ID Response: { “access_token”: “RsT5OjbzRn430zqMLgV3Ia”

    }

  41. É isso! Sem mais redirects.

  42. Client Credentials as máquinas também precisam de autorização!

  43. Paracido com o Resource Owner Credentials, mas para aplicações

  44. Exemplo: Microserviços POST https://api.oauth2server.com/token? grant_type=client_credentials& client_id=CLIENT_ID& client_secret=CLIENT_SECRET

  45. Refresh Token porque Access Token deve ter um tempo de

    vida

  46. Você pode fornecer, junto com o Access Token, um Refresh

    Token e um TTL

  47. Adiciona mais complexidade aos clients

  48. POSTahttps://api.oauth2server.com/token? grant_type=refresh_token&refresh_token=TOKEN { "access_token": “ACCESS_TOKEN”, "expires_at": timestamp, "refresh_token": “REFRESH_TOKEN” }

  49. Sugestões

  50. Envie os Access Token via Header

  51. None

  52. Cuidado com Single Page Apps

  53. fim! agora é sério!

  54. Referências ➔ https://speakerdeck.com/jacksonj04/oauth-101 ➔ https://leanpub.com/build-apis-you-wont-hate ➔ http://tools.ietf.org/html/rfc6749 ➔ http://alexbilbie.com/ ➔

    http://oauth2.thephpleague.com/ ➔ https://github.com/reddit/reddit/wiki/OAuth2

  55. Referências ➔ https://aaronparecki. com/articles/2012/07/29/1/oauth2-simplified ➔ http://bshaffer.github.io/oauth2-server-php- docs/overview/grant-types/ ➔ http://pt.slideshare.net/TiagoMarchettiDolphi/oauth2- uma-abordagem-para-segurana-de-aplicaes-e-apis-

    rest-devcamp-2014