Spring Security OAuth2 protege API com autenticação

Globalcode – Open4educationProtegendo sua API Spring Boot
com OAuth2
Trilha – Java Enterprise

Globalcode – Open4education
“Arqueólogo” Java
Desenvolvedor Java desde 1997
P&D Uno Soluções
Instrutor VOffice.

Agenda
Segurança
Alguns Métodos de Autenticação
Spring Security
Breve descrição do Ionic Framework
Demo
Q&A

Segurança
Autenticação Autorização

Verificação se usuário que está acessando
é realmente quem diz ser.

Segurança
O usuário tem permissão para os recursos
que está tentando acessar

Alguns Métodos de autenticação
Soluções “caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

Soluções “caseiras” Considerações

Métodos de autenticação
Soluções "caseiras"
HTTP Basic
OAuth2

Autenticação baseada em Token

Autenticação baseada em Token
Considerações:
Pouco impacto em performance
Problemas:
Header Tampering
Dictionary Attacks
Man-In-The-Midle
Simples adoção
Recomendado SSL

Soluções caseiras
HTTP Basic
OAuth2

HTTP Basic
Authorization: Basic dXN1YXJpbzpzZW5oYQ==
Codificação Base64: usuario:senha
https://www.base64encode.org/
Recomendado SSL

HTTP Basic
Considerações:
Pouco impacto em performance
Problema:
Credenciais plaintext
Header Tampering
Dictionary Attacks
Man-In-The-Midle
Simples adoção

HTTP Basic
OAuth2

Assinatura digital
https://www.devmedia.com.br/autenticacao-de-usuarios-com-certificados-digitais/9495

Assinatura digital
Considerações:
Performance afetada na geração de assinaturas
Problemas:
Obriga geração de certificados nas duas pontas
Custo elevado
Nao distingue claramente o usuário
Adoção mais complexa, depende de geração de assinaturas

OAuth2
Protocolo baseado em uma especificação de padrão aberto
IETF - RFC 6749
https://tools.ietf.org/html/rfc6749
Aplicações podem compartilhar recursos sem necessidade
de compartilhar as credenciais
Baseado em tokens
Permite delegação de acesso
Aplicações de terceiros
Tempo limitado
Controle do que pode ser acessado
Vários modos de acesso (usuário ou aplicação)

OAuth2 - Quem usa

OAuth2 - Roles
Resource Owner
Resource Server
Client
Authorization Server

OAuth2 - Fluxo
https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
https://oauth.net/2/

OAuth2 - Token
Tipo Bearer
Não é criptografado, necessita de SSL
String em formato Hash
Identificador para buscar dados de acesso a api
Informações do usuário são armazenadas no servidor
Banco de dados
Memória
Access Token de curta duração
Refresh Token de longa duração
119f2b5b-a5d8-481a-b674-4dec18d7be40

Token JWT
Baseado em um padrão aberto IETF - RFC 7519
https://tools.ietf.org/html/rfc7519
Permite envio de informações
Garantia de autenticidade

Token JWT - Estrutura
Header
Payload
Signature

Header
Tipo: JWT
Algoritmo de hashing
Payload
Signature

Header
Payload
Corpo do JWT
Informações armazenadas
Signature

Header
Payload
Signature
Assinatura do Token
Validar o Token
jo6PSJgZkI74hbTQxleJ-WS6GWxzmf6xUIaCvvRHnE8

OAuth2 - Grant types
Authorization Code
Recursos de terceiros
Implicit
SPA
Resource Owner Password Credentials
Trusted Apps
Client Credentials
machine to machine

OAuth2 - Authorization Code

OAuth2 - Password Credentials

OAuth2 - Considerações
Uso de SSL
Performance pouco afetada, depende do controle dos
tokens
Problemas:
Implementações podem expor vulnerabilidade
Implementações podem ser complexas
Adoção complexa dependendo do suporte a implementação

OAuth2 - Spring Security
Implementação do OAuth2
Implementa os 4 tipos de authorization grant
Suporta o papéis definidos pelo OAuth2
Resource Server
Client
Fácil integração com ecossistema Spring
configuração via anotações

@EnableAuthorizationServer
Habilita a configuração do Autorization Server
ClientDetailsServiceConfigurer
Configurações do Client
Armazenamento Memória ou Banco de dados
AuthorizationServerTokenServices
Configurações para gerenciamento de Tokens
Memória, Banco de Dados ou JWT
AuthorizationServerEndpointConfigurer
Configurações dos grant types suportados pelo servidor

Resource Server
Fornece um filtro de autenticação para as aplicações web
@EnableResourceServer
Habilita a configuração do Resource Server
Configuração do controle de acesso

Ionic Framework
Framework para desenvolvimento de aplicativos móveis
híbridos baseado em:
Cordova: integração com recursos nativos do dispositivo (todos)
Angular: framework frontend
Linguagem Typescript
Linguagem tipada
Orientada a objetos
Baseada em Javascript
Gera compilações para todas as plataformas (iOs e Android)
Componentes visuais adaptam-se ao estilo da plataforma
gerada.

Demo
https://github.com/lapavila/meuslivros-api
https://github.com/lapavila/meuslivros-app
Projeto Spring Boot API
Projeto Aplicação Cliente Ionic

Perguntas

Referências
https://www.infoq.com/br/presentations/seguranca-em-recursos-restful-com-oauth2
https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
https://oauth.net/2/
https://www.digitalocean.com/community/tutorials/uma-introducao-ao-oauth-2-pt
https://projects.spring.io/spring-boot/
https://github.com/spring-projects/spring-security-oauth
https://ionicframework.com/getting-started
https://jwt.io/

Obrigado
@lapavila
/lapavila
/luiz.avila
/lapavila

Spring Security OAuth2 protege API com autenticação

Recomendados

Mais conteúdo relacionado

Semelhante a Spring Security OAuth2 protege API com autenticação

Semelhante a Spring Security OAuth2 protege API com autenticação (20)

Spring Security OAuth2 protege API com autenticação