Ponto de vista Tutoriais Estratégias Eficazes Atualizações de Produto
All
Ponto de vista Tutoriais Estratégias Eficazes Atualizações de Produto

Apidog

All-in-one Collaborative API Development Platform

Design de API

Documentação de API

Depuração de API

Mock de API

Testes Automatizados de API

Inscreva-se gratuitamente
Home / Ponto de vista / OAuth 2.0: O que é OAuth e como funciona?
API Security OAuth

OAuth 2.0: O que é OAuth e como funciona?

Este artigo oferece uma introdução ao OAuth 2.0, explicando os papéis, fluxos, tokens e as melhores práticas de implementação que possibilitam um acesso delegado seguro.

João Silva

6 min read

OAuth 2.0 surgiu como o protocolo padrão para autorização neste panorama complexo, estabelecendo conexões de confiança entre diversas plataformas. Este artigo fornece uma introdução ao OAuth 2.0, explicando os papéis, fluxos, tokens e as melhores práticas de implementação que permitem acesso delegado seguro.

O que é OAuth 2.0

OAuth 2.0 é uma estrutura de autorização que permite que aplicativos de terceiros acessem os recursos de um usuário em um servidor sem a necessidade de o usuário compartilhar suas credenciais. Ele fornece uma maneira segura e padronizada para os usuários concederem acesso a seus dados a outros aplicativos, sem comprometer suas credenciais de login.

OAuth 1 vs OAuth 2

OAuth 2.0 tornou-se o padrão para autorização, melhorando versões anteriores com melhor segurança, flexibilidade e simplicidade.

OAuth 1.0 continua amplamente utilizado, especialmente entre as primeiras plataformas de redes sociais. Ele permite acesso delegado à API através de tokens de acesso de curta duração sem expor as credenciais do usuário. Embora o OAuth 1.0 ainda seja utilizado, a maioria das implementações modernas agora aproveita o OAuth 2.0 para segurança e conveniência superiores na integração de diversas plataformas e fontes de dados.

Aqui está uma visão geral rápida das principais diferenças entre OAuth 1.0 e OAuth 2.0:

OAuth 1.0:

  • Lançado em 2007.
  • Utiliza assinaturas criptográficas para autorização. Cada solicitação deve ser assinada usando uma chave secreta e um algoritmo de hash.
  • Suporta autorização de 3 partes com chave do consumidor, segredo do consumidor, token de solicitação e token de acesso.
  • Os principais tipos de concessão são para acessar recursos protegidos em nome do proprietário do recurso.
  • Visto como mais complexo para assinar cada chamada de API.

OAuth 2.0:

  • Lançado em 2012 como uma alternativa mais simples.
  • Utiliza tokens de acesso com autorização de token portador. Os tokens atuam como chaves para acessar recursos.
  • Suporta autorização de 4 partes com fluxo de concessão de código de autorização para aplicativos.
  • Define fluxos de autorização específicos para aplicativos web, aplicativos móveis, etc.
  • Inclui suporte nativo para tokens de acesso JWT.
  • Implementações de cliente mais simples sem assinaturas por chamada.

OAuth 2.0 no Apidog

Apidog é uma poderosa ferramenta de gerenciamento de API com uma interface intuitiva para obter e gerenciar facilmente tokens de acesso OAuth 2.0. Com um clique, você pode obter um token de acesso e ter o cabeçalho automaticamente preenchido para solicitações. A data de expiração do token é claramente exibida, e você pode atualizar o token com um clique quando necessário, tornando-o muito conveniente para testar APIs autenticadas com OAuth 2.0.

botão

Google OAuth 2.0

O Google utiliza o protocolo OAuth 2.0 para permitir que os usuários concedam acesso aos dados de sua conta do Google a aplicativos ou serviços de terceiros sem revelar seu nome de usuário e senha do Google. O guia detalhado para sua referência.

Os Principais Papéis do OAuth 2.0

OAuth 2.0 define vários papéis principais que estão envolvidos no processo de autorização. Cada papel tem suas próprias responsabilidades e desempenha um papel crucial em garantir a segurança e funcionalidade do protocolo OAuth 2.0. Vamos dar uma olhada mais de perto nesses papéis:

  1. Proprietário do Recurso: Concede acesso aos recursos protegidos.
  2. Cliente: Solicita acesso aos recursos em nome do proprietário.
  3. Servidor de Autorização: Autentica o proprietário e emite tokens de acesso.
  4. Servidor de Recursos: Hospeda os recursos protegidos, valida tokens de acesso.
  5. Agente do Usuário: Interface para o proprietário interagir com o cliente e o servidor de autorização.

Como o OAuth 2.0 Funciona

OAuth 2.0 é uma poderosa estrutura de autorização que fornece uma maneira segura e padronizada para os usuários concederem permissões a aplicativos de terceiros. Ele oferece flexibilidade, escalabilidade e ampla adoção, tornando-se uma escolha ideal para muitos aplicativos que requerem acesso seguro aos recursos do usuário. No entanto, é importante entender e implementar as medidas de segurança necessárias para garantir a integridade e confidencialidade dos dados do usuário.

OAuth 2.0 é comumente usado em cenários onde os usuários desejam conceder acesso a seus dados a aplicativos de terceiros, como integração com redes sociais, autenticação única e controle de acesso à API. Ele permite que os usuários gerenciem e revoguem facilmente as permissões concedidas a aplicativos de terceiros, garantindo a privacidade e a segurança de seus dados.

Exemplo de OAuth 2.0

O principal objetivo do OAuth 2.0 é fornecer uma maneira segura e eficiente para os usuários concederem permissões a aplicativos de terceiros para acessar seus recursos, como contas de redes sociais, armazenamento em nuvem ou outros serviços da web. Ele elimina a necessidade de os usuários compartilharem suas senhas com aplicativos de terceiros, reduzindo o risco de roubo de credenciais e acesso não autorizado.

OAuth 2.0 introduz o conceito de tokens de acesso, que são emitidos pelo servidor de autorização após o usuário conceder permissão ao aplicativo cliente. Esses tokens de acesso são então utilizados pelo aplicativo cliente para autenticar e autorizar solicitações ao servidor de recursos em nome do usuário. Isso permite que o aplicativo cliente acesse os recursos do usuário sem lidar diretamente com suas credenciais. Há um guia detalhado sobre como usar o Postman com OAuth 2.0.

O Processo de Autorização do OAuth 2.0

OAuth 2.0 é uma estrutura de autorização que permite que os usuários concedam acesso aos seus recursos em um site para outro site sem compartilhar suas credenciais. Ela fornece uma maneira segura e padronizada para os usuários autorizarem aplicativos de terceiros a acessar seus dados em várias plataformas, como sites de redes sociais ou serviços de armazenamento em nuvem.

O fluxo de autorização do OAuth 2.0 consiste em várias etapas:

  1. O usuário inicia o processo: O usuário inicia o processo de autorização clicando em um botão ou link fornecido pelo aplicativo de terceiros. Isso pode ser um botão "Entrar com o Google" ou "Conectar com o Facebook".
  2. Redirecionamento para o servidor de autorização: O usuário é redirecionado para o servidor de autorização, que é responsável por autenticar o usuário e obter seu consentimento para conceder acesso aos recursos solicitados.
  3. Usuário concede autorização: O servidor de autorização apresenta ao usuário uma tela de consentimento, explicando quais dados o aplicativo de terceiros está solicitando acesso. O usuário pode então escolher conceder ou negar acesso.
  4. Código de autorização é emitido: Se o usuário conceder autorização, o servidor de autorização gera um código de autorização e redireciona o usuário de volta para a URL de retorno do aplicativo de terceiros, juntamente com o código de autorização.
  5. Solicitação de token de acesso: O aplicativo de terceiros usa o código de autorização para solicitar um token de acesso ao servidor de autorização. O token de acesso é uma credencial que permite ao aplicativo acessar os recursos do usuário em nome do usuário.
  6. Token de acesso é emitido: Se o código de autorização for válido, o servidor de autorização emite um token de acesso para o aplicativo de terceiros. O token de acesso é tipicamente um token de longa duração que pode ser usado para fazer solicitações de API em nome do usuário.
  7. Acessar recursos: O aplicativo de terceiros agora pode usar o token de acesso para acessar os recursos do usuário no servidor de recursos. O servidor de recursos verifica o token de acesso e concede acesso aos recursos solicitados se o token for válido.
  8. Token de atualização (opcional): Em alguns casos, o servidor de autorização também pode emitir um token de atualização juntamente com o token de acesso. O token de atualização pode ser usado para obter um novo token de acesso quando o atual expira, sem exigir que o usuário passe novamente pelo processo de autorização.

O fluxo de autorização do OAuth 2.0 fornece uma maneira segura e amigável para aplicativos de terceiros acessarem dados do usuário sem lidar diretamente com suas credenciais. Permite que os usuários tenham controle sobre quais aplicativos podem acessar seus dados e fornece uma abordagem padronizada para integrar com várias plataformas.

Considerações de Segurança para o OAuth 2.0

OAuth 2.0 permite que aplicativos de terceiros acessem recursos do usuário sem credenciais, mas a segurança é vital. Informações sensíveis, como tokens de acesso, tokens de atualização e segredos de cliente devem ser armazenadas e transmitidas de forma segura via HTTPS. Controles de acesso adequados devem restringir o acesso. Além disso, a expiração e revogação de tokens ajudam a prevenir acessos não autorizados.

A autenticação forte por meio de protocolos como OpenID Connect reduz riscos ao exigir que os aplicativos clientes se autentiquem com credenciais. O próprio servidor de autorização deve ser protegido por meio de medidas como codificação segura, auditoria e monitoramento. Embora conveniente para APIs, o OAuth 2.0 introduz riscos que devem ser mitigados por meio da gestão de tokens, autenticação, segurança do servidor de autorização e outras melhores práticas. Abordar essas considerações aprimora a segurança geral.

Junte-se à Newsletter da Apidog

Inscreva-se para ficar atualizado e receber os últimos pontos de vista a qualquer momento.