iMasters, profile picture
Carregado poriMasters
PDF, PPTX1,321 visualizações

PHP Experience 2016 - [Palestra] Autenticação em APIs

O documento discute autenticação em APIs, abordando métodos como autenticação HTTP básica e OAuth, destacando suas vulnerabilidades e a importância do SSL. Ele explica conceitos fundamentais como certificados digitais, autoridade certificadora e como configurar um ambiente seguro com PHP e Android. Além disso, analisa o uso de certificados digitais em diferentes cenários e práticas recomendadas para garantir a segurança e a integridade das comunicações.

Incorporar apresentação

Transferir como PDF, PPTX
Autenticação em APIs Marcelo Milhomem
Agenda
Agenda • HTTP REST API • Autenticação • SSL / Autoridade Certificadora / Certificados • Aplicação em Mobile
Autenticação x Autorização
401 vs 403 • 401 Unauthorised - Não autenticado Eu preciso saber quem você é • 403 Forbidden - Não autorizado Eu sei quem você é mas, você não tem direito
Autenticação hoje
HTTP Basic (Usuário e Senha) • Cleartext • Precisa de SSL • Fácil de "crackear" • Usuário preguiçoso (mesma senha / senha fraca) • Mesma senha em vários sistemas
OAuth (Autenticação + Autorização)
Token / JWT 1 { 2 "sub": "1234567890", 3 "name": "John Doe", 4 "admin": true 5 } 1 HMACSHA256( 2 base64UrlEncode(header) + "." + 3 base64UrlEncode(payload), 4 secret) 1 eyJhbGciOiJIUzI1NiIsInR 2 5cCI6IkpXVCJ9. 3 eyJzdWIiOiIxMjM0NTY3ODk 4 wIiwibmFtZSI6IkpvaG4gRG 5 9lIiwiYWRtaW4iOnRydWV9. 6 TJVA95OrM7E2cBab30RMHrH 7 DcEfxjoYZgeFONFh7HgQ
Todos usam SSL
Por que o SSL?
Certificados • Par de chaves assimétricas (Pública e Privada) • Oferece a mesma coisa que o SSL • Autentica o cliente através da assinatura digital • Requer um `round trip` extra
Autoridade Certificadora (CA) • Self signed (todo CA é) • CA intermediário (cadeias de CA) - boa prática para evitar perda total em caso de comprometimento da chave privada • Você é a autoridade :0 dona da verdade • Utilizar CA intermediários como ACL
Show Case
Ingredientes Keystore Certificado do Cliente Certificado do Servidor Keystore CA
Gerar certificado do cliente
Gerar certificado - PHP Gerando par de chaves do cliente 1 /** 2 * Chave privada 3 */ 4 $clientPrivateKey = new Crypt_RSA(); 5 $clientPrivateKey->setPassword($password); 6 $generatedKeyPair = $clientPrivateKey->createKey(); 7 $clientPrivateKey->loadKey($generatedKeyPair['privatekey']); 8 /** 9 * Chave pública 10 */ 11 $clientPublicKey = new Crypt_RSA(); 12 $clientPublicKey->loadKey($generatedKeyPair['publickey']); 13 $clientPublicKey->setPublicKey();
Gerar certificado - PHP Par de chaves do CA 1 /** 2 * Chave privada do CA necessária para assinar 3 */ 4 $privateKeyIntermediateCA = new Crypt_RSA(); 5 $privateKeyIntermediateCA->setPassword('Intermediate CA password'); 6 $privateKeyIntermediateCA->loadKey(file_get_contents($privateCAKeyPath)); 7 /** 8 * Certificado do CA 9 */ 10 $certificateIntermediateCA = new File_X509(); 11 $certificateIntermediateCA->setPrivateKey($privateKeyIntermediateCA); 12 $certificateIntermediateCA->loadX509(file_get_contents($certificateCAKeyPath));
Certificado do Cliente - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 7 $certificateX509 = new File_X509(); 8 $certificateX509->setEndDate('+1 month'); 9 /** 10 * Assinatura do CA 11 */ 12 $clientCertificate = 13 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest); 14 /** 15 * Resultado chave privada + certificado do cliente 16 */ 17 echo $clientPrivateKey->getPrivateKey(); 18 echo PHP_EOL; 19 echo $certificateX509->saveX509($clientCertificate);
Certificado do Cliente - Android 1 /** 2 * Certificado do cliente + chave privada empacotados em um arquivo PFX 3 */ 4 KeyStore keyStore = KeyStore.getInstance("PKCS12"); 5 FileInputStream clientCertificateContent = 6 new FileInputStream("/path/to/publicAndPrivateKey.p12"); 7 keyStore.load(clientCertificateContent, "private key password".toCharArray()); 8 KeyManagerFactory keyManagerFactory = 9 KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 10 keyManagerFactory.init(keyStore, "private key password".toCharArray());
Embarcar CA 1 -----BEGIN CERTIFICATE----- 2 MIIDnzCCAwigAwIBAgIJAJZTKp0w82kyMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYD 3 VQQGEwJCUjETMBEGA1UECBQKU8OjbyBQYXVsbzETMBEGA1UEBxQKU8OjbyBQYXVs 4 bzERMA8GA1UEChMIRWFzeVRheGkxETAPBgNVBAsTCEVhc3lUYXhpMQswCQYDVQQD 5 EwJFVDEmMCQGCSqGSIb3DQEJARYXY29udGF0b0BlYXN5dGF4aS5jb20uYnIwHhcN 6 MTYwMTE4MTYwNDQ2WhcNMzYwMTEzMTYwNDQ2WjCBkjELMAkGA1UEBhMCQlIxEzAR 7 BgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAPBgNVBAoT 8 CEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQxJjAkBgkq 9 hkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyMIGfMA0GCSqGSIb3DQEB 10 AQUAA4GNADCBiQKBgQDTny6B8fbG1UXEtMYYFKfODKduzYTovLIUzXKFrX9wHEsC 11 lTOLqtvKsvkLkjXsC3R/HedWoRbFXJbaaw723csPlxrxuBqfkNBJB25ihccwVWbP 12 WpEaDluL2btsBdW2uuDshpXk2z6Gf5xcePnmf24iWpvJs1uBJWkEGRR2TzEi8wID 13 AQABo4H6MIH3MB0GA1UdDgQWBBRMm/EjlWrvxXTtUmotq+kwN52u3zCBxwYDVR0j 14 BIG/MIG8gBRMm/EjlWrvxXTtUmotq+kwN52u36GBmKSBlTCBkjELMAkGA1UEBhMC 15 QlIxEzARBgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAP 16 BgNVBAoTCEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQx 17 JjAkBgkqhkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyggkAllMqnTDz 18 aTIwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOBgQAEcW5DO0ODdWd0kZzU 19 6eSg8ckDPImveTiKpFU5a96WxlVmwU8IlwAZ695w6ciIwDjys6BUNUBayTczhJbO 20 83Ykrt+b62+ksqKKFrCcba10R8QSjhYZSy7Yv08m/6+OiP+rUb2Jg4zVdAPhaaVn 21 lb1Nff1EgOdWIdjTKpPzHRjY4g== 22 -----END CERTIFICATE----- Autoridade Certificadora Aplicativo Mobile
Requisição OkHttp - Android 1 OkHttpClient client = new OkHttpClient(); 2 client.setSslSocketFactory(sslContext.getSocketFactory()); 3 client.newCall(new Request.Builder() 4 .url("https://easytaxi.com.br") 5 .build() 6 ).execute();
Adicionando Cabeçalhos 1 GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 Host: api.easytaxi.com.br 3 User-Agent: curl/7.43.0 4 X-SSL: 1 5 X-SSL-Client-Verify: 0 6 X-SSL-Client-SHA1: "a01b894d12579d88efce97d27107f380b05f5968" 7 X-SSL-Client-CN: "56edfd08756f458a6f0041ad" 8 X-SSL-Issuer: "/C=BR/OU=EasyTaxi/emailAddress=contato@easytaxi.com.br” 9 X-SSL-Client-Not-Before: "120101100030Z" 10 X-SSL-Client-Not-After: "160101100030Z" 11 Accept: */*
Use Cases
Validade • Todo certificado tem validade • Demonstração • Teste gratuito temporário • Revalidação de login
Grupos e Cadeias • Você pode criar vários CAs intermediários • Criar intermediário e assinar os usuários do grupo com ele • Revogar um intermediário e todos certificados abaixo dele • Intermediários também possuem validade
Integridade • Benefício da autenticação mútua (2WAY)
Assinatura digital • Não repúdio - Garantia da que o portador assinou • Assinar documentos digitalmente • Certificado digital
Offload
Descentralizado • Servidores conseguem validar o certificado offline • Precisam apenas compartilhar as chaves do CA • Ideal para microserviços
Emissão on-demand • Emissão de certificados dinamicamente • Let’s Encrypt faz isso para certificado de servidores • Crie sua PKI para emitir certificados para clientes
Autorização Simples - 403 1 #GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 $uri = current(explode('?', getenv('REQUEST_URI'))); 3 preg_match('#[a-zA-Z0-9-]+(/)?$#', $uri, $matches); 4 $passengerId = $matches[0]; 5 if ($request->headers->get('X-SSL-Client-CN') != $passengerId) { 6 return new Response('Forbidden', 403); 7 }
Gerar certificado - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setDNProp('uniqueidentifier', 'my unique ID'); 7 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 8 $certificateX509 = new File_X509(); 9 $certificateX509->setEndDate('+1 month'); 10 /** 11 * Assinatura do CA 12 */ 13 $clientCertificate = 14 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest);
Por que ninguém ta usando isso?
Perguntas? Vamos manter contato! https://legacy.joind.in/17491 https://gist.github.com/milhomem

Mais conteúdo relacionado

PDF
TDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e Elasticsearch
portdc-globalcode
 
PDF
Autenticacao em APIs com SSL
porMarcelo Milhomem
 
PDF
Escrevendo códigos php seguros
porDouglas V. Pasqua
 
PDF
Segurança Web com PHP5
porDouglas V. Pasqua
 
PPTX
JWT - Json Web Token
porMario Mendonça
 
PDF
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
porLuis Cipriani
 
ODP
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
porErick Belluci Tedeschi
 
PDF
Mini Curso PHP Twig - PHP Conference 2017
porLuis Gustavo Almeida
 
TDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e Elasticsearch
portdc-globalcode
 
Autenticacao em APIs com SSL
porMarcelo Milhomem
 
Escrevendo códigos php seguros
porDouglas V. Pasqua
 
Segurança Web com PHP5
porDouglas V. Pasqua
 
JWT - Json Web Token
porMario Mendonça
 
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
porLuis Cipriani
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
porErick Belluci Tedeschi
 
Mini Curso PHP Twig - PHP Conference 2017
porLuis Gustavo Almeida
 

Mais procurados

PPTX
Proteja sua aplicação com o zend framework 2
porCyrille Grandval
 
PDF
Bypass de token csrf na pratica secure brasil
porWilliam Costa
 
PDF
Mongo + php
porJosé Agripino Duarte da Silva
 
KEY
Segurança & Ruby on Rails
porJulio Monteiro
 
PDF
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
PPTX
Como o elasticsearch salvou minhas buscas
porWaldemar Neto
 
PDF
How to use Elasticsearch Analyzers by EmergiNet
porEmergiNet
 
PDF
Mecanismo de Busca com Node.js + MongoDB
porLuiz Duarte
 
PDF
"Hacking+PHP"
porErick Belluci Tedeschi
 
PDF
Android chat app com Node.js
porLuiz Duarte
 
PDF
Workshop Node.js + MongoDB + Mongoose
porLuiz Duarte
 
KEY
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
porJoão Moura
 
PPTX
Treinamento Elasticsearch - Parte 1
porLuiz Henrique Zambom Santana
 
PDF
Tony\'s Top 10 Computer Forensics Artifacts
portonyrodrigues
 
PPTX
PHP robusto com Zend Framework
porJaime Neto
 
PDF
Curso mongo db com php
porSuissa
 
PDF
A vida além do jQuery
porPaulo Pires
 
PDF
Realtime com node.js e socket.io
porCaio Ribeiro Pereira
 
ODP
BigData - ElasticSearch + PHP
porFelipe Weckx
 
PDF
Xss injection indo alem do alert.v 0.4
porWilliam Costa
 
Proteja sua aplicação com o zend framework 2
porCyrille Grandval
 
Bypass de token csrf na pratica secure brasil
porWilliam Costa
 
Mongo + php
porJosé Agripino Duarte da Silva
 
Segurança & Ruby on Rails
porJulio Monteiro
 
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
Como o elasticsearch salvou minhas buscas
porWaldemar Neto
 
How to use Elasticsearch Analyzers by EmergiNet
porEmergiNet
 
Mecanismo de Busca com Node.js + MongoDB
porLuiz Duarte
 
"Hacking+PHP"
porErick Belluci Tedeschi
 
Android chat app com Node.js
porLuiz Duarte
 
Workshop Node.js + MongoDB + Mongoose
porLuiz Duarte
 
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
porJoão Moura
 
Treinamento Elasticsearch - Parte 1
porLuiz Henrique Zambom Santana
 
Tony\'s Top 10 Computer Forensics Artifacts
portonyrodrigues
 
PHP robusto com Zend Framework
porJaime Neto
 
Curso mongo db com php
porSuissa
 
A vida além do jQuery
porPaulo Pires
 
Realtime com node.js e socket.io
porCaio Ribeiro Pereira
 
BigData - ElasticSearch + PHP
porFelipe Weckx
 
Xss injection indo alem do alert.v 0.4
porWilliam Costa
 

Destaque

PDF
PHP Experience 2016 - [Palestra] Keynote: PHP-7
poriMasters
 
PDF
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS
poriMasters
 
PDF
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL
poriMasters
 
PDF
Waw - Gas
porimpactaeventos
 
PDF
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
poriMasters
 
PDF
PHP Experience 2016 - [Palestra] Json Web Token (JWT)
poriMasters
 
PPTX
PHP Experience 2016 - [Workshop] Agile: Test Driven Development
poriMasters
 
PDF
PHP Experience 2016 - [Palestra] Rumo à Certificação PHP
poriMasters
 
PDF
PHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHP
poriMasters
 
PPSX
What I learnt: Elastic search & Kibana : introduction, installtion & configur...
porRahul K Chauhan
 
PHP Experience 2016 - [Palestra] Keynote: PHP-7
poriMasters
 
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS
poriMasters
 
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL
poriMasters
 
Waw - Gas
porimpactaeventos
 
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
poriMasters
 
PHP Experience 2016 - [Palestra] Json Web Token (JWT)
poriMasters
 
PHP Experience 2016 - [Workshop] Agile: Test Driven Development
poriMasters
 
PHP Experience 2016 - [Palestra] Rumo à Certificação PHP
poriMasters
 
PHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHP
poriMasters
 
What I learnt: Elastic search & Kibana : introduction, installtion & configur...
porRahul K Chauhan
 

Semelhante a PHP Experience 2016 - [Palestra] Autenticação em APIs

PDF
Unidade7 roteiro
porLeandro Almeida
 
PDF
HTTPS com TLS em Modo RSA
porRudá Moura
 
PDF
Mule pe salesforce mule security
porJeison Barros
 
ODP
Certificação Digital - Aula2 Exercícios
porLeandro Rezende
 
PDF
introdução a docker e uso de middlware e autenticação com node
porFabioAbrantesDiniz
 
PDF
TDC 2015 - Segurança em Recursos RESTful com OAuth2
porRodrigo Cândido da Silva
 
PDF
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
porRodrigo Cândido da Silva
 
PDF
SSL no apache
porCarlos Eduardo
 
PDF
Certificados SSL e Let's Encrypt
porMOSS Open Source Services
 
PPTX
Palestra criando aplicações seguras com php (2)
porLeandro Lugaresi
 
PDF
Aplicações stateless com PHP e JWT
porBruno Neves Menezes
 
PDF
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...
porDeep Tech Brasil
 
PDF
SSL,Secure Sockets Layer
porraquelcarsi
 
PDF
TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...
portdc-globalcode
 
PDF
Explorando mecanismos autenticacao na web
porEduardo Cesar
 
PPTX
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
porTiago Marchetti Dolphine
 
PDF
Segurança de APIs - API eXperience
porDaniel Varanda
 
PDF
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
porJeronimo Zucco
 
ODP
Web apis
porEvaldo Barbosa
 
Unidade7 roteiro
porLeandro Almeida
 
HTTPS com TLS em Modo RSA
porRudá Moura
 
Mule pe salesforce mule security
porJeison Barros
 
Certificação Digital - Aula2 Exercícios
porLeandro Rezende
 
introdução a docker e uso de middlware e autenticação com node
porFabioAbrantesDiniz
 
TDC 2015 - Segurança em Recursos RESTful com OAuth2
porRodrigo Cândido da Silva
 
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
porRodrigo Cândido da Silva
 
SSL no apache
porCarlos Eduardo
 
Certificados SSL e Let's Encrypt
porMOSS Open Source Services
 
Palestra criando aplicações seguras com php (2)
porLeandro Lugaresi
 
Aplicações stateless com PHP e JWT
porBruno Neves Menezes
 
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...
porDeep Tech Brasil
 
SSL,Secure Sockets Layer
porraquelcarsi
 
TDC2017 | Florianopolis - Trilha DevOps How we figured out we had a SRE team ...
portdc-globalcode
 
Explorando mecanismos autenticacao na web
porEduardo Cesar
 
OAuth2: Uma abordagem para segurança de aplicações e APIs REST - Devcamp 2014
porTiago Marchetti Dolphine
 
Segurança de APIs - API eXperience
porDaniel Varanda
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
porJeronimo Zucco
 
Web apis
porEvaldo Barbosa
 

Mais de iMasters

PPTX
O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro
poriMasters
 
PDF
Postgres: wanted, beloved or dreaded? - Fabio Telles
poriMasters
 
PPTX
Por que minha query esta lenta? - Suellen Moraes
poriMasters
 
PPTX
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...
poriMasters
 
PDF
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves
poriMasters
 
PPTX
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...
poriMasters
 
PDF
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
poriMasters
 
PDF
O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...
poriMasters
 
PDF
Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud
poriMasters
 
PDF
Use MDD e faça as máquinas trabalharem para você - Andreza Leite
poriMasters
 
PDF
Entendendo os porquês do seu servidor - Talita Bernardes
poriMasters
 
PDF
Backend performático além do "coloca mais máquina lá" - Diana Arnos
poriMasters
 
PPTX
Dicas para uma maior performance em APIs REST - Renato Groffe
poriMasters
 
PPTX
7 dicas de desempenho que equivalem por 21 - Danielle Monteiro
poriMasters
 
PDF
Quem se importa com acessibilidade Web? - Mauricio Maujor
poriMasters
 
PDF
Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva
poriMasters
 
PDF
Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti
poriMasters
 
PDF
Elasticidade e engenharia de banco de dados para alta performance - Rubens G...
poriMasters
 
PDF
Construindo aplicações mais confiantes - Carolina Karklis
poriMasters
 
PDF
Monitoramento de Aplicações - Felipe Regalgo
poriMasters
 
O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro
poriMasters
 
Postgres: wanted, beloved or dreaded? - Fabio Telles
poriMasters
 
Por que minha query esta lenta? - Suellen Moraes
poriMasters
 
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...
poriMasters
 
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves
poriMasters
 
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...
poriMasters
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
poriMasters
 
O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...
poriMasters
 
Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud
poriMasters
 
Use MDD e faça as máquinas trabalharem para você - Andreza Leite
poriMasters
 
Entendendo os porquês do seu servidor - Talita Bernardes
poriMasters
 
Backend performático além do "coloca mais máquina lá" - Diana Arnos
poriMasters
 
Dicas para uma maior performance em APIs REST - Renato Groffe
poriMasters
 
7 dicas de desempenho que equivalem por 21 - Danielle Monteiro
poriMasters
 
Quem se importa com acessibilidade Web? - Mauricio Maujor
poriMasters
 
Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva
poriMasters
 
Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti
poriMasters
 
Elasticidade e engenharia de banco de dados para alta performance - Rubens G...
poriMasters
 
Construindo aplicações mais confiantes - Carolina Karklis
poriMasters
 
Monitoramento de Aplicações - Felipe Regalgo
poriMasters
 

Último

PPTX
CULTURA MIDIATICA NA SALA DE AULA NO BRA
porItaymissonValadao1
 
PPTX
29303_e30e550ca2aa714c00e64f99347df19c.pptx
porantoniodvilacardoso
 
PDF
Biblioteconomia - Indexação e Resumos em Unidades de Informação
porGoogle
 
PPT
Metodologia da Pesquisa Científica - Apresentações orais
porAparecidaXavier7
 
PPTX
TREINAMENTO PERCEPÇÃO DE RISCO + videos e dinemicas.pptx
porsesmtgrupobrasitec
 
PDF
PPT_Amor de Perdição_análise em aula (1) (1).pdf
porafonsogang
 
PPTX
Slides Lição 7, Betel, Vencendo as estratégias e propostas do inimigo, 1Tr26....
porAssembleia de Deus
 
PPTX
IST - infeções sexualmente transmissíveis
porritasilva564572
 
PDF
Biblioteconomia - Ap1 - Serviço de Referência e Informação
porGoogle
 
PPTX
Origem dos números - história contada ..
porAnandaThaisCosta1
 
PPT
Proteínas_bioquímica_celular_aminoacidos_proteinas
porBiologia na Prática
 
PPTX
cultura digital: tecnologia e sociedade no mundo contemporaneo
porlilianamachadoprof
 
PDF
Património cultural dos Caretos de Podence, Lazarim, Varge, Ousilhão e Bempo...
porArtur Filipe dos Santos
 
PDF
exame nacional de História para preparação do 12º ano
pormfvnunes
 
PPTX
Novidades ENEM 2026 - 2º EM.pptx O que você precisa saber sobre a correção da...
porMariaAparecidaOlivei97
 
PDF
Aula ATOS Administrativos - aula de direito aministrativo 1
porMonteguedes
 
PDF
AULA 3 SERVIÇO PRÉ HOSPITALAR MÓVEL 2.pdf
porpaulasoukup
 
DOCX
quando as raízes curam a alma, restaurando a alma.docx
porJucyBordados
 
PDF
Organizador Curricular Base Comum 2026 - Ciências .pdf
porssuser7076a8
 
PDF
Avaliação Diagnóstica DG 5º ano - Otimas
porMariaEduardaAmorim11
 
CULTURA MIDIATICA NA SALA DE AULA NO BRA
porItaymissonValadao1
 
29303_e30e550ca2aa714c00e64f99347df19c.pptx
porantoniodvilacardoso
 
Biblioteconomia - Indexação e Resumos em Unidades de Informação
porGoogle
 
Metodologia da Pesquisa Científica - Apresentações orais
porAparecidaXavier7
 
TREINAMENTO PERCEPÇÃO DE RISCO + videos e dinemicas.pptx
porsesmtgrupobrasitec
 
PPT_Amor de Perdição_análise em aula (1) (1).pdf
porafonsogang
 
Slides Lição 7, Betel, Vencendo as estratégias e propostas do inimigo, 1Tr26....
porAssembleia de Deus
 
IST - infeções sexualmente transmissíveis
porritasilva564572
 
Biblioteconomia - Ap1 - Serviço de Referência e Informação
porGoogle
 
Origem dos números - história contada ..
porAnandaThaisCosta1
 
Proteínas_bioquímica_celular_aminoacidos_proteinas
porBiologia na Prática
 
cultura digital: tecnologia e sociedade no mundo contemporaneo
porlilianamachadoprof
 
Património cultural dos Caretos de Podence, Lazarim, Varge, Ousilhão e Bempo...
porArtur Filipe dos Santos
 
exame nacional de História para preparação do 12º ano
pormfvnunes
 
Novidades ENEM 2026 - 2º EM.pptx O que você precisa saber sobre a correção da...
porMariaAparecidaOlivei97
 
Aula ATOS Administrativos - aula de direito aministrativo 1
porMonteguedes
 
AULA 3 SERVIÇO PRÉ HOSPITALAR MÓVEL 2.pdf
porpaulasoukup
 
quando as raízes curam a alma, restaurando a alma.docx
porJucyBordados
 
Organizador Curricular Base Comum 2026 - Ciências .pdf
porssuser7076a8
 
Avaliação Diagnóstica DG 5º ano - Otimas
porMariaEduardaAmorim11
 

PHP Experience 2016 - [Palestra] Autenticação em APIs

  • 1.
  • 2.
  • 3.
    Agenda • HTTP RESTAPI • Autenticação • SSL / Autoridade Certificadora / Certificados • Aplicação em Mobile
  • 4.
  • 5.
    401 vs 403 •401 Unauthorised - Não autenticado Eu preciso saber quem você é • 403 Forbidden - Não autorizado Eu sei quem você é mas, você não tem direito
  • 6.
  • 7.
    HTTP Basic (Usuário eSenha) • Cleartext • Precisa de SSL • Fácil de "crackear" • Usuário preguiçoso (mesma senha / senha fraca) • Mesma senha em vários sistemas
  • 8.
  • 9.
    Token / JWT 1{ 2 "sub": "1234567890", 3 "name": "John Doe", 4 "admin": true 5 } 1 HMACSHA256( 2 base64UrlEncode(header) + "." + 3 base64UrlEncode(payload), 4 secret) 1 eyJhbGciOiJIUzI1NiIsInR 2 5cCI6IkpXVCJ9. 3 eyJzdWIiOiIxMjM0NTY3ODk 4 wIiwibmFtZSI6IkpvaG4gRG 5 9lIiwiYWRtaW4iOnRydWV9. 6 TJVA95OrM7E2cBab30RMHrH 7 DcEfxjoYZgeFONFh7HgQ
  • 10.
  • 11.
  • 12.
    Certificados • Par dechaves assimétricas (Pública e Privada) • Oferece a mesma coisa que o SSL • Autentica o cliente através da assinatura digital • Requer um `round trip` extra
  • 13.
    Autoridade Certificadora (CA) •Self signed (todo CA é) • CA intermediário (cadeias de CA) - boa prática para evitar perda total em caso de comprometimento da chave privada • Você é a autoridade :0 dona da verdade • Utilizar CA intermediários como ACL
  • 14.
  • 15.
    Ingredientes Keystore Certificado do ClienteCertificado do Servidor Keystore CA
  • 16.
  • 17.
    Gerar certificado -PHP Gerando par de chaves do cliente 1 /** 2 * Chave privada 3 */ 4 $clientPrivateKey = new Crypt_RSA(); 5 $clientPrivateKey->setPassword($password); 6 $generatedKeyPair = $clientPrivateKey->createKey(); 7 $clientPrivateKey->loadKey($generatedKeyPair['privatekey']); 8 /** 9 * Chave pública 10 */ 11 $clientPublicKey = new Crypt_RSA(); 12 $clientPublicKey->loadKey($generatedKeyPair['publickey']); 13 $clientPublicKey->setPublicKey();
  • 18.
    Gerar certificado -PHP Par de chaves do CA 1 /** 2 * Chave privada do CA necessária para assinar 3 */ 4 $privateKeyIntermediateCA = new Crypt_RSA(); 5 $privateKeyIntermediateCA->setPassword('Intermediate CA password'); 6 $privateKeyIntermediateCA->loadKey(file_get_contents($privateCAKeyPath)); 7 /** 8 * Certificado do CA 9 */ 10 $certificateIntermediateCA = new File_X509(); 11 $certificateIntermediateCA->setPrivateKey($privateKeyIntermediateCA); 12 $certificateIntermediateCA->loadX509(file_get_contents($certificateCAKeyPath));
  • 19.
    Certificado do Cliente- PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 7 $certificateX509 = new File_X509(); 8 $certificateX509->setEndDate('+1 month'); 9 /** 10 * Assinatura do CA 11 */ 12 $clientCertificate = 13 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest); 14 /** 15 * Resultado chave privada + certificado do cliente 16 */ 17 echo $clientPrivateKey->getPrivateKey(); 18 echo PHP_EOL; 19 echo $certificateX509->saveX509($clientCertificate);
  • 20.
    Certificado do Cliente- Android 1 /** 2 * Certificado do cliente + chave privada empacotados em um arquivo PFX 3 */ 4 KeyStore keyStore = KeyStore.getInstance("PKCS12"); 5 FileInputStream clientCertificateContent = 6 new FileInputStream("/path/to/publicAndPrivateKey.p12"); 7 keyStore.load(clientCertificateContent, "private key password".toCharArray()); 8 KeyManagerFactory keyManagerFactory = 9 KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 10 keyManagerFactory.init(keyStore, "private key password".toCharArray());
  • 21.
    Embarcar CA 1 -----BEGINCERTIFICATE----- 2 MIIDnzCCAwigAwIBAgIJAJZTKp0w82kyMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYD 3 VQQGEwJCUjETMBEGA1UECBQKU8OjbyBQYXVsbzETMBEGA1UEBxQKU8OjbyBQYXVs 4 bzERMA8GA1UEChMIRWFzeVRheGkxETAPBgNVBAsTCEVhc3lUYXhpMQswCQYDVQQD 5 EwJFVDEmMCQGCSqGSIb3DQEJARYXY29udGF0b0BlYXN5dGF4aS5jb20uYnIwHhcN 6 MTYwMTE4MTYwNDQ2WhcNMzYwMTEzMTYwNDQ2WjCBkjELMAkGA1UEBhMCQlIxEzAR 7 BgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAPBgNVBAoT 8 CEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQxJjAkBgkq 9 hkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyMIGfMA0GCSqGSIb3DQEB 10 AQUAA4GNADCBiQKBgQDTny6B8fbG1UXEtMYYFKfODKduzYTovLIUzXKFrX9wHEsC 11 lTOLqtvKsvkLkjXsC3R/HedWoRbFXJbaaw723csPlxrxuBqfkNBJB25ihccwVWbP 12 WpEaDluL2btsBdW2uuDshpXk2z6Gf5xcePnmf24iWpvJs1uBJWkEGRR2TzEi8wID 13 AQABo4H6MIH3MB0GA1UdDgQWBBRMm/EjlWrvxXTtUmotq+kwN52u3zCBxwYDVR0j 14 BIG/MIG8gBRMm/EjlWrvxXTtUmotq+kwN52u36GBmKSBlTCBkjELMAkGA1UEBhMC 15 QlIxEzARBgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAP 16 BgNVBAoTCEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQx 17 JjAkBgkqhkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyggkAllMqnTDz 18 aTIwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOBgQAEcW5DO0ODdWd0kZzU 19 6eSg8ckDPImveTiKpFU5a96WxlVmwU8IlwAZ695w6ciIwDjys6BUNUBayTczhJbO 20 83Ykrt+b62+ksqKKFrCcba10R8QSjhYZSy7Yv08m/6+OiP+rUb2Jg4zVdAPhaaVn 21 lb1Nff1EgOdWIdjTKpPzHRjY4g== 22 -----END CERTIFICATE----- Autoridade Certificadora Aplicativo Mobile
  • 22.
    Requisição OkHttp -Android 1 OkHttpClient client = new OkHttpClient(); 2 client.setSslSocketFactory(sslContext.getSocketFactory()); 3 client.newCall(new Request.Builder() 4 .url("https://easytaxi.com.br") 5 .build() 6 ).execute();
  • 23.
    Adicionando Cabeçalhos 1 GET/passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 Host: api.easytaxi.com.br 3 User-Agent: curl/7.43.0 4 X-SSL: 1 5 X-SSL-Client-Verify: 0 6 X-SSL-Client-SHA1: "a01b894d12579d88efce97d27107f380b05f5968" 7 X-SSL-Client-CN: "56edfd08756f458a6f0041ad" 8 X-SSL-Issuer: "/C=BR/OU=EasyTaxi/emailAddress=contato@easytaxi.com.br” 9 X-SSL-Client-Not-Before: "120101100030Z" 10 X-SSL-Client-Not-After: "160101100030Z" 11 Accept: */*
  • 24.
  • 25.
    Validade • Todo certificadotem validade • Demonstração • Teste gratuito temporário • Revalidação de login
  • 26.
    Grupos e Cadeias •Você pode criar vários CAs intermediários • Criar intermediário e assinar os usuários do grupo com ele • Revogar um intermediário e todos certificados abaixo dele • Intermediários também possuem validade
  • 27.
    Integridade • Benefício daautenticação mútua (2WAY)
  • 28.
    Assinatura digital • Nãorepúdio - Garantia da que o portador assinou • Assinar documentos digitalmente • Certificado digital
  • 29.
  • 33.
    Descentralizado • Servidores conseguemvalidar o certificado offline • Precisam apenas compartilhar as chaves do CA • Ideal para microserviços
  • 34.
    Emissão on-demand • Emissãode certificados dinamicamente • Let’s Encrypt faz isso para certificado de servidores • Crie sua PKI para emitir certificados para clientes
  • 35.
    Autorização Simples -403 1 #GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 $uri = current(explode('?', getenv('REQUEST_URI'))); 3 preg_match('#[a-zA-Z0-9-]+(/)?$#', $uri, $matches); 4 $passengerId = $matches[0]; 5 if ($request->headers->get('X-SSL-Client-CN') != $passengerId) { 6 return new Response('Forbidden', 403); 7 }
  • 36.
    Gerar certificado -PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setDNProp('uniqueidentifier', 'my unique ID'); 7 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 8 $certificateX509 = new File_X509(); 9 $certificateX509->setEndDate('+1 month'); 10 /** 11 * Assinatura do CA 12 */ 13 $clientCertificate = 14 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest);
  • 37.
    Por que ninguémta usando isso?
  • 38.