O documento aborda a proteção de APIs Spring Boot com OAuth2, discutindo métodos de autenticação como autenticação baseada em token, HTTP basic e assinaturas digitais. O OAuth2 é detalhado como um protocolo importante que permite delegação de acesso a aplicações de terceiros e contém diferentes tipos de autorização. Também é mencionado o uso do Ionic Framework para o desenvolvimento de aplicativos móveis híbridos.

1. Globalcode – Open4educationProtegendo sua API Spring Boot
com OAuth2
Trilha – Java Enterprise

2. Globalcode – Open4education
“Arqueólogo” Java
Desenvolvedor Java desde 1997
P&D Uno Soluções
Instrutor VOffice.

3. Globalcode – Open4education
Agenda
Segurança
Alguns Métodos de Autenticação
Spring Security
Breve descrição do Ionic Framework
Demo
Q&A

4. Globalcode – Open4education
Segurança
Autenticação Autorização

5. Globalcode – Open4education
Verificação se usuário que está acessando
é realmente quem diz ser.
Autenticação Autorização

6. Globalcode – Open4education
Segurança
Autenticação Autorização
O usuário tem permissão para os recursos
que está tentando acessar

7. Globalcode – Open4education
Alguns Métodos de autenticação
Soluções “caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

8. Globalcode – Open4education
Alguns Métodos de autenticação
Soluções “caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

9. Globalcode – Open4education
Soluções “caseiras"

10. Globalcode – Open4education
Soluções “caseiras” Considerações

11. Globalcode – Open4education
Métodos de autenticação
Soluções "caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

12. Globalcode – Open4education
Autenticação baseada em Token

13. Globalcode – Open4education
Autenticação baseada em Token
Considerações:
Pouco impacto em performance
Problemas:
Header Tampering
Dictionary Attacks
Man-In-The-Midle
Simples adoção
Recomendado SSL

14. Globalcode – Open4education
Métodos de autenticação
Soluções caseiras
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

15. Globalcode – Open4education
HTTP Basic
Authorization: Basic dXN1YXJpbzpzZW5oYQ==
Codificação Base64: usuario:senha
https://www.base64encode.org/
Recomendado SSL

16. Globalcode – Open4education
HTTP Basic
Considerações:
Pouco impacto em performance
Problema:
Credenciais plaintext
Header Tampering
Dictionary Attacks
Man-In-The-Midle
Simples adoção

17. Globalcode – Open4education
Métodos de autenticação
Soluções “caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

18. Globalcode – Open4education
Assinatura digital
https://www.devmedia.com.br/autenticacao-de-usuarios-com-certificados-digitais/9495

19. Globalcode – Open4education
Assinatura digital
Considerações:
Performance afetada na geração de assinaturas
Problemas:
Obriga geração de certificados nas duas pontas
Custo elevado
Nao distingue claramente o usuário
Adoção mais complexa, depende de geração de assinaturas

20. Globalcode – Open4education
Métodos de autenticação
Soluções “caseiras"
Autenticação baseada Token
HTTP Basic
Assinaturas digitais
OAuth2

21. Globalcode – Open4education
OAuth2
Protocolo baseado em uma especificação de padrão aberto
IETF - RFC 6749
https://tools.ietf.org/html/rfc6749
Aplicações podem compartilhar recursos sem necessidade
de compartilhar as credenciais
Baseado em tokens
Permite delegação de acesso
Aplicações de terceiros
Tempo limitado
Controle do que pode ser acessado
Vários modos de acesso (usuário ou aplicação)

22. Globalcode – Open4education
OAuth2 - Quem usa

23. Globalcode – Open4education
OAuth2 - Roles
Resource Owner
Resource Server
Client
Authorization Server

24. Globalcode – Open4education
OAuth2 - Fluxo
https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
https://oauth.net/2/

25. Globalcode – Open4education
OAuth2 - Token
Tipo Bearer
Não é criptografado, necessita de SSL
String em formato Hash
Identificador para buscar dados de acesso a api
Informações do usuário são armazenadas no servidor
Banco de dados
Memória
Access Token de curta duração
Refresh Token de longa duração
119f2b5b-a5d8-481a-b674-4dec18d7be40

26. Globalcode – Open4education
Token JWT
Baseado em um padrão aberto IETF - RFC 7519
https://tools.ietf.org/html/rfc7519
Permite envio de informações
Garantia de autenticidade

27. Globalcode – Open4education
Token JWT - Estrutura
Header
Payload
Signature

28. Globalcode – Open4education
Token JWT - Estrutura
Header
Tipo: JWT
Algoritmo de hashing
Payload
Signature

29. Globalcode – Open4education
Token JWT - Estrutura
Header
Payload
Corpo do JWT
Informações armazenadas
Signature

30. Globalcode – Open4education
Token JWT - Estrutura
Header
Payload
Signature
Assinatura do Token
Validar o Token
jo6PSJgZkI74hbTQxleJ-WS6GWxzmf6xUIaCvvRHnE8

31. Globalcode – Open4education
OAuth2 - Grant types
Authorization Code
Recursos de terceiros
Implicit
SPA
Resource Owner Password Credentials
Trusted Apps
Client Credentials
machine to machine

32. Globalcode – Open4education
OAuth2 - Grant types
Authorization Code
Recursos de terceiros
Implicit
SPA
Resource Owner Password Credentials
Trusted Apps
Client Credentials
machine to machine

33. Globalcode – Open4education
OAuth2 - Authorization Code

34. Globalcode – Open4education
OAuth2 - Authorization Code

35. Globalcode – Open4education
OAuth2 - Authorization Code

36. Globalcode – Open4education
OAuth2 - Authorization Code

37. Globalcode – Open4education
OAuth2 - Authorization Code

38. Globalcode – Open4education
OAuth2 - Authorization Code

39. Globalcode – Open4education
OAuth2 - Password Credentials

40. Globalcode – Open4education
OAuth2 - Considerações
Uso de SSL
Performance pouco afetada, depende do controle dos
tokens
Problemas:
Implementações podem expor vulnerabilidade
Implementações podem ser complexas
Adoção complexa dependendo do suporte a implementação

41. Globalcode – Open4education
OAuth2 - Spring Security
Implementação do OAuth2
Implementa os 4 tipos de authorization grant
Suporta o papéis definidos pelo OAuth2
Authorization Server
Resource Server
Client
Fácil integração com ecossistema Spring
configuração via anotações

42. Globalcode – Open4education
Authorization Server
@EnableAuthorizationServer
Habilita a configuração do Autorization Server
ClientDetailsServiceConfigurer
Configurações do Client
Armazenamento Memória ou Banco de dados
AuthorizationServerTokenServices
Configurações para gerenciamento de Tokens
Memória, Banco de Dados ou JWT
AuthorizationServerEndpointConfigurer
Configurações dos grant types suportados pelo servidor

43. Globalcode – Open4education
Resource Server
Fornece um filtro de autenticação para as aplicações web
@EnableResourceServer
Habilita a configuração do Resource Server
Configuração do controle de acesso

44. Globalcode – Open4education
Ionic Framework
Framework para desenvolvimento de aplicativos móveis
híbridos baseado em:
Cordova: integração com recursos nativos do dispositivo (todos)
Angular: framework frontend
Linguagem Typescript
Linguagem tipada
Orientada a objetos
Baseada em Javascript
Gera compilações para todas as plataformas (iOs e Android)
Componentes visuais adaptam-se ao estilo da plataforma
gerada.

45. Globalcode – Open4education
Demo
https://github.com/lapavila/meuslivros-api
https://github.com/lapavila/meuslivros-app
Projeto Spring Boot API
Projeto Aplicação Cliente Ionic

46. Globalcode – Open4education
Perguntas

47. Globalcode – Open4education
Referências
https://www.infoq.com/br/presentations/seguranca-em-recursos-restful-com-oauth2
https://www.digitalocean.com/community/tutorials/an-introduction-to-oauth-2
https://oauth.net/2/
https://www.digitalocean.com/community/tutorials/uma-introducao-ao-oauth-2-pt
https://projects.spring.io/spring-boot/
https://github.com/spring-projects/spring-security-oauth
https://ionicframework.com/getting-started
https://jwt.io/

48. Globalcode – Open4education
Obrigado
@lapavila
/lapavila
/luiz.avila
/lapavila