CSRF e OAuth2

1. CSRF com OAuth 2 Leonardo B. Cordeiro

7. Cartão de crédito

10. Cartão de crédito ? ? ? ?

11. Você conﬁa?

13. Sistema Confiável

14. Sistema Confiável

16. E agora? Você confia?

18. Veremos :)

19. Desenvolvedor e Instrutor github.com/leonardocordeiro leonardo.cordeiro@caelum.com.br Leonardo Bernardino Cordeiro

20. Relembrando …

21. OAuth 2 Cuida de como aplicações clientes podem acessar os dados dos clientes cadastrados no resource server

22. Grant Types

25. Authorization: Bearer 123

26. Authorization: Bearer 123

28. Resource Owner Credentials Grant

29. Resource Owner Credentials Grant

30. Confiabilidade

32. Você conﬁa?

33. Comprar!

35. 302 (Moved Temporarily) client_id: 987 location: /login EXPLICAR COMO OBTEVE CLIENT_ID

36. Cadastra

37. client_id client_secret

38. client_id: 987

39. Validando…

40. OK!

42. 302 (Moved Temporarily) auth_token: 1234 location: /token/1234

43. /token/1234

44. client_id: 987 client_secret: **** auth_token: 1234

45. access_token: 765

46. Gera o Access Token e associa a sessão do usuário na livraria.

47. /pagar access_token: 765

48. /endereco access_token: 765

49. endereco: Rua do Ouvidor, 50

50. access_token: 765 Access Token

51. access_token: 765 O acesso aos recursos (dados) do usuário foi concedido a um client_id. Access Token

52. access_token: 765 O acesso aos recursos (dados) do usuário foi concedido a um client_id. Access Token Deve ser invalidado (revogação) depois de um tempo. Evitar que outras aplicações descubram

53. Authorization Code Credentials Grant

54. Não preciso passar minha senha do Paypal pra Casa do Código!

55. Estou seguro!

58. Cadastra

59. client_id client_secret

61. 302 (Moved Temporarily) client_id: 1001 location: /login

62. client_id: 1001

63. Validando…

64. OK!

66. 302 (Moved Temporarily) auth_token: 4567 location: /casacodigo/token

67. auth_token: 4567

68. Como trocar o auth_token pelo access_token?

69. /token/1234

70. O que faz essa URI?

72. access_token: 765

73. Sessão

75. /pagar access_token: 765

76. /token/1234

77. /token/4567

78. Sessão

79. Sessão

80. /endereco access_token: 543

81. endereco: <endereço do hacker>

82. Jamais acessarei essa URI!

85. <img src=“/images/carro.png”> <img src=“/images/flores.png”>

87. 404

89. <img src=“http://casadocodigo.com.br/.../token/4567”> ?????

90. <img src=“/token/4567”>

91. <img src=“/token/4567”> ?

94. Cross Site Request Forgery Força o cliente a executar algo que ele nao deseja

96. Gerar um token e associá-lo a sessão?

97. Gerar um token e associá-lo a sessão? E validá-lo na hora de receber um Authorization Code?

98. Comprar!

100. Gerando Token

101. Sessão

102. 302 (Moved Temporarily) state: 9998 client_id: 987 location: /login

103. state: 9998 client_id: 987

104. Validando…

105. OK!

107. 302 (Moved Temporarily) state: 9998 auth_token: 1234 location: /token/1234/9998

108. /token/1234/ 9998

109. Sessão

111. <img src=“/token/4567/????”>

113. Representa a sessão do usuário no Client Application state

114. Representa a sessão do usuário no Client Application Gerado antes do redirect ao Authorization Server (login) state

115. Representa a sessão do usuário no Client Application Gerado antes do redirect ao Authorization Server (login) Client Application irá validar ao recebê-lo junto com Authorization Token state

116. Recomendado no request state OAuth2 Spec 4.1.1

117. Obrigatório na resposta, caso esteja presente no request state OAuth2 Spec 4.1.2

118. Desenvolvedor e Instrutor github.com/leonardocordeiro leonardo.cordeiro@caelum.com.br Leonardo Bernardino Cordeiro Obrigado!

CSRF e OAuth2

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a CSRF e OAuth2

Semelhante a CSRF e OAuth2 (20)

CSRF e OAuth2