SlideShare ist ein Scribd-Unternehmen logo

Banca: Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo OAuth

Fernando Geraldo Mantoan
Fernando Geraldo Mantoan
Technologie
1 von 47
Downloaden Sie, um offline zu lesen
Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Estudo de Caso de uma Estrutura de Mantoan ca ´ Autentica¸˜o Unica Utilizando o Protocolo Introdu¸˜o ca Vis˜o geral a OAuth. Objetivos Procedimentos de Pesquisa Referencial Fernando Geraldo Mantoan Orientador: Prof. Esp. Diego de Carvalho Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca UTFPR - Universidade Tecnol´gica Federal do Paran´, Campus Medianeira o a Cloud Computing HTTP OAuth 11 de dezembro de 2011 Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Introdu¸˜o ca Vis˜o geral a Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Vis˜o geral a Geraldo Mantoan Necessidade de restringir acesso; Introdu¸˜o ca Vis˜o geral a Objetivos Autentica¸˜o e Credenciais de acesso; ca Procedimentos OAuth e modelo tradicional cliente-servidor; de Pesquisa Referencial Resource Owner (Propriet´rio do recurso); a Te´rico o Seguran¸a c Cliente (Consumidores); Autentica¸˜o ca Autoriza¸˜o Cloud ca Acesso a recursos controlados. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Introdu¸˜o ca Objetivos Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Objetivo Geral Introdu¸˜o ca Vis˜o geral a Propor uma estrutura para fornecer autentica¸˜o unica com o ca ´ Objetivos Procedimentos protocolo OAuth na plataforma Java, e implementar duas de Pesquisa mini-aplica¸˜es que utilizem esta estrutura de autentica¸˜o, co ca Referencial Te´rico o sendo elas de plataformas de programa¸˜o diferentes. ca Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Introdu¸˜o ca Objetivos Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Objetivos Espec´ ıficos Fernando Geraldo Mantoan Explicar os conceitos de seguran¸a; c Introdu¸˜o ca Explanar o protocolo OAuth; Vis˜o geral a Objetivos Apresentar as tecnologias utilizadas no desenvolvimento Procedimentos de Pesquisa das aplica¸˜es; co Referencial Implementar uma aplica¸˜o que forne¸a autentica¸˜o ca c ca Te´rico o Seguran¸a c unica utilizando o protocolo OAuth; ´ Autentica¸˜o ca Autoriza¸˜o Cloud ca Implementar duas aplica¸˜es que se autenticam utilizando co Computing HTTP a estrutura OAuth implementada. OAuth Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Procedimentos de Pesquisa Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Procedimentos de Pesquisa Introdu¸˜o ca Vis˜o geral a An´lise Bibliogr´fica; a a Objetivos Pesquisa Experimental; Procedimentos de Pesquisa Tipo de Pesquisa Referencial Te´rico o Aplicada Seguran¸a c Explorat´ria o Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Seguran¸a c Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Seguran¸a c Geraldo Mantoan Componente cr´ ıtico; Introdu¸˜o ca Vis˜o geral a Objetivos Uso inteligente ´ um ponto chave; e Procedimentos Confidencialidade; de Pesquisa Referencial Integridade; Te´rico o Seguran¸a c Disponibilidade; Autentica¸˜o ca Autoriza¸˜o Cloud ca Autenticidade. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Seguran¸a c Vulnerabilidades Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Vulnerabilidades Mantoan Introdu¸˜o ca Defeito relevante no sistema; Vis˜o geral a Objetivos Subvers˜o da pol´ a ıtica de seguran¸a; c Procedimentos de Pesquisa Vulnerabilidade de projeto; Referencial Te´rico o Vulnerabilidade de codifica¸˜o; ca Seguran¸a c Autentica¸˜o ca Vulnerabilidade operacional. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Autentica¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Autentica¸˜o ca Mantoan Introdu¸˜o ca Identifica¸˜o de um usu´rio; ca a Vis˜o geral a Objetivos Mapeamento deste usu´rio; a Procedimentos de Pesquisa Dom´ ınios (anˆnimo e autenticado); o Referencial Te´rico o Anˆnimo: Independentes de identifica¸˜o; o ca Seguran¸a c Autentica¸˜o ca Autenticado: Funcionalidades protegidas. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Autoriza¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Autoriza¸˜o ca Fernando Geraldo Mantoan Disponibilidade de dados e recursos autorizados para o Introdu¸˜o ca usu´rio; a Vis˜o geral a Objetivos Particionamento de funcionalidades; Procedimentos de Pesquisa Privil´gios, funcionalidades, dados e usu´rios; e a Referencial Te´rico o Mapeamento para pap´is; e Seguran¸a c Autentica¸˜o ca Checagens de autoridade para recursos; Autoriza¸˜o ca Cloud Computing Recurso protegido = Funcionalidade do sistema. HTTP OAuth Estrutura F´ ısica Tecnologias
Cloud Computing Trabalho de Conclus˜o de a Curso - UTFPR - Cloud Computing 2011 Fernando Geraldo Forma com que infra-estruturas s˜o arquitetadas, a Mantoan compradas e implantadas; Introdu¸˜o ca Vis˜o geral a Utiliza¸˜o como um utilit´rio; ca a Objetivos Procedimentos Otimiza¸˜o t´tica; ca a de Pesquisa Artefato arquitetural estrat´gico; e Referencial Te´rico o Conjunto de solu¸˜es escal´veis; co a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Alugado ou utilizado conforme a necessidade; Cloud Computing HTTP Nuvem privada; OAuth Nuvem p´blica. u Estrutura F´ ısica Tecnologias
HTTP Introdu¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Introdu¸˜o ca Mantoan Introdu¸˜o ca Hypertext Transfer Protocol; Vis˜o geral a Objetivos Navegadores de internet, servidores, aplica¸˜es web; co Procedimentos de Pesquisa Servidores web = conte´do; u Referencial Te´rico o Dados requisitados pelo cliente HTTP; Seguran¸a c Autentica¸˜o ca Pedidos HTTP e Respostas HTTP. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
HTTP URI Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo URI Mantoan Introdu¸˜o ca Unified Resource Identifier ; Vis˜o geral a Objetivos Identificador unico de um recurso de um servidor web; ´ Procedimentos de Pesquisa Exclusivo; Referencial Te´rico o Exemplo: Seguran¸a c http://www.site.com/imagens/imagem.gif Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
HTTP URL Trabalho de Conclus˜o de a Curso - UTFPR - 2011 URL Fernando Geraldo Mantoan Uniform Resource Locator ; Introdu¸˜o ca Identificador de recurso; Vis˜o geral a Objetivos Localiza¸˜o de um recurso em um servidor; ca Procedimentos de Pesquisa Como obter o recurso; Referencial Exemplo: Te´rico o Seguran¸a c http://www.site.com/imagens/imagem.gif Autentica¸˜o ca Autoriza¸˜o ca Primeira parte: Esquema (http://); Cloud Computing Segunda parte: Endere¸o do servidor (www.site.com); c HTTP Restante: Recurso do servidor (/imagens/imagem.gif). OAuth Estrutura F´ ısica Tecnologias
HTTP Transa¸˜es co Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Transa¸˜es co Introdu¸˜o ca Vis˜o geral a Objetivos Comando enviado do cliente ao servidor; Procedimentos de Pesquisa Resposta enviada do servidor ao cliente; Referencial Mensagens HTTP. Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
HTTP M´todos e Trabalho de Conclus˜o de a M´todos e Curso - UTFPR - 2011 Comandos de pedido; Fernando Geraldo A¸˜o a ser executada. ca Mantoan Introdu¸˜o ca M´todo e Descri¸˜o ca Vis˜o geral a Objetivos GET Envia um recurso nomeado do servidor ao Procedimentos cliente. de Pesquisa PUT Armazena dados de um cliente em um re- Referencial Te´rico o curso nomeado do servidor. Seguran¸a c Autentica¸˜o ca DELETE Exclui o recurso nomeado de um servidor. Autoriza¸˜o ca Cloud Computing POST Envia dados do cliente a uma aplica¸˜oca HTTP OAuth servidora de gateway. Estrutura HEAD Envia apenas os cabe¸alhos HTTP da re- c F´ ısica sposta para o recurso nomeado. Tecnologias
HTTP C´digos de Estado o Trabalho de Conclus˜o de a C´digos de Estado o Curso - UTFPR - 2011 N´mero de trˆs d´ u e ıgitos; Fernando Geraldo Mantoan Resultado da execu¸˜o do pedido; ca Explica¸˜o textual. ca Introdu¸˜o ca Vis˜o geral a Objetivos C´digo de Estado o Descri¸˜o ca Procedimentos de Pesquisa 200 OK. Documento retornado com Referencial sucesso. Te´rico o Seguran¸a c 302 Redirect. Redireciona o usu´rio a Autentica¸˜o ca Autoriza¸˜o ca para outro lugar para obter o Cloud Computing HTTP recurso. OAuth 404 Not Found. N˜o foi poss´ en- a ıvel Estrutura F´ ısica contrar este recurso. Tecnologias
HTTP Mensagens Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Mensagens Geraldo Mantoan Simples sequˆncias de caracteres orientadas por linha; e Introdu¸˜o ca Vis˜o geral a Mensagens de pedido (de clientes web a servidores); Objetivos Procedimentos Mensagens de resposta (de servidores a clientes web); de Pesquisa Trˆs partes: e Referencial Te´rico o Linha de in´ ınicio; Seguran¸a c Autentica¸˜o ca Campos de cabe¸alho; c Autoriza¸˜o ca Cloud Corpo. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
OAuth Introdu¸˜o ca Trabalho de Conclus˜o de a Curso - Introdu¸˜o ca UTFPR - 2011 Fernando Open Authentication; Geraldo Mantoan Padr˜o aberto; a Introdu¸˜o ca 2007, desenvolvedores web, delega¸˜o de acesso, 2009 ca Vis˜o geral a Objetivos Revis˜o 1.0A; a Procedimentos de Pesquisa Acesso em nome de um resource owner, acesso de Referencial terceiros; Te´rico o Seguran¸a c Cliente obt´m permiss˜ do resource owner ; e a Autentica¸˜o ca Autoriza¸˜o ca Cloud Token e chave secreta; Computing HTTP OAuth Sem compartilhar credenciais; Estrutura Escopo restrito, tempo de vida limitado, revoga¸˜o. ca F´ ısica Tecnologias
OAuth Terminologia Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Terminologia Geraldo Mantoan Cliente; Introdu¸˜o ca Vis˜o geral a Objetivos Servidor; Procedimentos Recurso Protegido; de Pesquisa Referencial Propriet´rio do recurso (resource owner ); a Te´rico o Seguran¸a c Credenciais; Autentica¸˜o ca Autoriza¸˜o Cloud ca Token. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
OAuth Benef´ ıcios Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Benef´ ıcios Introdu¸˜o ca Vis˜o geral a Token de acesso abstrato sem compartilhar nenhuma das Objetivos senhas do usu´rio; a Procedimentos de Pesquisa Controle do usu´rio para revogar tokens; a Referencial Te´rico o Os tokens podem ser exibidos aos usu´rios. a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
OAuth Funcionamento Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Funcionamento Geraldo Mantoan Trˆs etapas: e Introdu¸˜o ca Cliente obt´m credenciais tempor´rias; e a Vis˜o geral a Objetivos Propriet´rio do recurso autoriza o pedido de acesso; a Procedimentos Conjunto de tokens do servidor. de Pesquisa Referencial Endpoints: Te´rico o Pedido de credencial tempor´ria; a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o do Propriet´rio do Recurso; ca a Autoriza¸˜o ca Cloud Pedido de token. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
OAuth Funcionamento - Credenciais Tempor´rias a Trabalho de Conclus˜o de a Credenciais Tempor´rias a Curso - UTFPR - 2011 HTTP “POST“, endpoint de Pedido de credencial Fernando Geraldo tempor´ria; a Mantoan oauth callback; Introdu¸˜o ca Vis˜o geral a Credenciais do cliente; Objetivos Procedimentos SSL para a transmiss˜o dos dados; a de Pesquisa Conjunto de credenciais tempor´rias a Referencial Te´rico o Reposta: oauth token, oauth token secret, Seguran¸a c Autentica¸˜o ca oauth callback confirmed; Autoriza¸˜o ca Cloud Exemplo: HTTP/1.1 200 OK Content-Type: Computing HTTP application/x-www-form-urlencoded OAuth oauth token=hdk48Djdsa Estrutura F´ ısica &oauth token secret=xyz4992k83j47x0b Tecnologias &oauth callback confirmed=true
OAuth Funcionamento - Autoriza¸˜o do Propriet´rio do Recurso ca a Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Autoriza¸˜o do Propriet´rio do Recurso ca a Fernando Geraldo Mantoan Usu´rio deve autorizar a requisi¸˜o; a ca Introdu¸˜o ca Endpoint de autoriza¸˜o do propriet´rio do recurso, ca a Vis˜o geral a Objetivos oauth token; Procedimentos Redirecionamento do agente de usu´rio; a de Pesquisa Referencial Informa¸˜es do cliente; co Te´rico o Seguran¸a c Autorizado, redireciona para oauth callback; Autentica¸˜o ca Autoriza¸˜o Cloud ca C´digo de verifica¸˜o (oauth verifier); o ca Computing HTTP OAuth Retorno omitido, exibe o c´digo de verifica¸˜o. o ca Estrutura F´ ısica Tecnologias
OAuth Funcionamento - Credenciais de Token Trabalho de Conclus˜o de a Curso - UTFPR - Credenciais de Token 2011 Fernando HTTP “POST“ para o endpoint de pedido de token com Geraldo Mantoan o oauth verifier; Introdu¸˜o ca Credenciais do cliente e tempor´rias oauth token; a Vis˜o geral a Objetivos POST request token HTTP1.1 Procedimentos de Pesquisa Host: server.example.com Authorization: Referencial OAuth realm=‘‘Example’’, Te´rico o oauth consumer key=‘‘jd83jd92dhsh93js’’, Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca oauth token=‘‘hdk48Djdsa’’, Cloud Computing oauth signature method=‘‘PLAINTEXT’’, HTTP OAuth oauth verifier=‘‘473f82d3’’, Estrutura oauth signature=‘‘ja893SD9%26xyz4992k83j47x0b’’ F´ ısica Tecnologias
OAuth Funcionamento - Credenciais de Token Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Credenciais de Token Fernando Geraldo Validade do pedido, autoriza¸˜o o fornecimento do token, ca Mantoan credenciais n˜o expiradas; a Introdu¸˜o ca Vis˜o geral a C´digo de verifica¸˜o; o ca Objetivos Procedimentos Pedido v´lido = Resposta com token e c´d 200 “OK”; a o de Pesquisa Resposta: oauth token e oauth token secret; Referencial Te´rico o HTTP/1.1 200 OK Seguran¸a c Autentica¸˜o ca Content-Type: Autoriza¸˜o ca application/x-www-form-urlencoded Cloud Computing oauth token=j49ddk933skd9dks HTTP OAuth &oauth token secret=ll399dj47dskfjdk Estrutura F´ ısica Tecnologias
OAuth Requisi¸oes autenticadas c˜ Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Requisi¸˜es autenticadas co Geraldo Mantoan Requisi¸˜es autenticadas do protocolo HTTP; co Introdu¸˜o ca Vis˜o geral a Credenciais do cliente e do propriet´rio do recurso; a Objetivos Procedimentos Necess´rio obter credenciais de token; a de Pesquisa Parˆmetros: oauth consumer key, oauth token, a Referencial Te´rico o oauth signature method, oauth timestamp, Seguran¸a c Autentica¸˜o ca oauth nonce, oauth version; Autoriza¸˜o ca Cloud Computing Envia o pedido autenticado ao servidor. HTTP OAuth Estrutura F´ ısica Tecnologias
OAuth Requisi¸oes autenticadas c˜ Trabalho de Conclus˜o de a Requisi¸˜es autenticadas co Curso - UTFPR - 2011 Exemplo: Fernando Geraldo POST request?b5¯%3D%253D&a3=a&c%40=&a2=r%20b Mantoan HTTP/1.1 Introdu¸˜o ca Host: example.com Vis˜o geral a Objetivos Content-Type: Procedimentos de Pesquisa application/x-www-form-urlencoded Referencial Authorization: OAuth realm=‘‘Example’’, Te´rico o Seguran¸a c oauth consumer key=‘‘9djdj82h48djs9d2’’, Autentica¸˜o ca Autoriza¸˜o ca oauth token=‘‘kkk9d7dh3k39sjv7’’, Cloud Computing oauth signature method=‘‘HMAC-SHA1’’, HTTP OAuth oauth timestamp=‘‘137131201’’, Estrutura oauth nonce=‘‘7d8f3e4a’’, F´ ısica Tecnologias oauth signature=‘‘bYT5CMsGcbgUdFHObYMEfcx6bsw%3D’’ c2&a3=2+q
OAuth Experiˆncia do usu´rio e a Trabalho de Conclus˜o de a Curso - Experiˆncia do usu´rio e a UTFPR - 2011 Fernando Menos intrus˜o; a Geraldo Mantoan Tela de autoriza¸˜o com informa¸˜es do cliente; ca co Introdu¸˜o ca Autorizar/Revogar. Vis˜o geral a Objetivos Procedimentos de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Figura: Tela de autoriza¸˜o do Twitter ca Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Estrutura F´ ısica Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Estrutura F´ ısica Geraldo Mantoan GNU/Linux Ubuntu 11.10; Introdu¸˜o ca Vis˜o geral a Navegador de internet Opera 11 e Chromium; Objetivos Procedimentos Fast Ethernet 100; de Pesquisa Notebook: Referencial Te´rico o CPU Pentium Dual Core T2130 1.86GHz; Seguran¸a c Autentica¸˜o ca 2 GB de mem´ria DDR2 667MHz; o Autoriza¸˜o Cloud ca HD de 160 GB SATA. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Tecnologias Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Tecnologias Fernando Geraldo Mantoan Java; Introdu¸˜o ca Vis˜o geral a Spring MVC, Spring Security, Spring Security OAuth; Objetivos Hibernate; Procedimentos de Pesquisa PHP e Zend Framework; Referencial Te´rico o Play! Framework; Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca HTML5 e CSS3; Cloud Computing MySQL. HTTP OAuth Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Implementa¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Implementa¸˜o ca Introdu¸˜o ca Vis˜o geral a Objetivos Servidor OAuth; Procedimentos de Pesquisa Aplica¸˜o de Agenda de Contatos; ca Referencial Aplica¸˜o de Controle de Finan¸as. ca c Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Implementa¸˜o ca Servidor OAuth Trabalho de Conclus˜o de a Curso - Servidor OAuth UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Procedimentos de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Figura: Arquitetura Tecnologias
Implementa¸˜o ca Servidor OAuth Trabalho de Conclus˜o de a Servidor OAuth Curso - UTFPR - 2011 Model-View-Controller ; Fernando Geraldo Spring MVC, Spring Security e Spring Security OAuth; Mantoan Configura¸˜o de endpoints OAuth; ca Introdu¸˜o ca Vis˜o geral a Defini¸˜o dos controladores, servi¸os e reposit´rios; ca c o Objetivos Procedimentos Views com HTML5 e CSS3; de Pesquisa Servi¸o de tokens em mem´ria. c o Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias Figura: Banco de Dados
Implementa¸˜o ca Aplica¸˜o de Agenda de Contatos ca Trabalho de Conclus˜o de a Aplica¸˜o de Agenda de Contatos ca Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Figura: Banco de Dados Procedimentos de Pesquisa Referencial Agenda simples de contatos; Te´rico o Seguran¸a c Play! Framework; Autentica¸˜o ca Autoriza¸˜o ca M´dulo OAuth e configura¸˜o dos endpoints, o ca Cloud Computing HTTP redirecionamento; OAuth Autentica¸˜o por OAuth; ca Estrutura F´ ısica No callback obt´m dados do perfil com uma requisi¸˜o e ca Tecnologias autenticada e armazena em sess˜o; a
Implementa¸˜o ca Aplica¸˜o de Controle de Finan¸as ca c Trabalho de Conclus˜o de a Aplica¸˜o de Controle de Finan¸as ca c Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Figura: Banco de Dados Procedimentos de Pesquisa Referencial Aplica¸˜o simples de lan¸amentos de cr´ditos e d´bitos; ca c e e Te´rico o Seguran¸a c PHP 5.3 e Zend Framework; Autentica¸˜o ca Autoriza¸˜o Cloud ca Zend Oauth Consumer configura¸˜es de endpoints, co Computing HTTP redirecionamento; OAuth Estrutura No callback obt´m dados do perfil com uma requisi¸˜o e ca F´ ısica autenticada e armazena no Zend Auth; Tecnologias Views com HTML5 e CSS3.
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Resultados Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Resultados Vis˜o geral a Objetivos Procedimentos Apresenta¸˜o das aplica¸˜es desenvolvidas. ca co de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
Conclus˜es o Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Conclus˜es o Geraldo Mantoan Seguran¸a ´ um ponto crucial; c e Introdu¸˜o ca Centraliza¸˜o das credenciais; ca Vis˜o geral a Objetivos Tokens, OAuth, protocolo amplamente utilizado no Procedimentos de Pesquisa mercado; Referencial Te´rico o Diversas bibliotecas dispon´ ıveis; Seguran¸a c Autentica¸˜o ca Transparˆncia para o usu´rio; e a Autoriza¸˜o ca Cloud Computing Controle do que pode acessar seus dados. HTTP OAuth Estrutura F´ ısica Tecnologias
Conclus˜es o Trabalhos Futuros Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Trabalhos Futuros Fernando Geraldo Mantoan Persistir tokens no banco de dados; Introdu¸˜o ca Persistir consumidores no banco de dados, permitindo aos Vis˜o geral a Objetivos administradores controlar melhor os consumidores; Procedimentos de Pesquisa Listar aos usu´rios as aplica¸˜es autorizadas por ele; a co Referencial Revogar as aplica¸˜es listadas e limpar os dados do co Te´rico o Seguran¸a c usu´rio na aplica¸˜o; a ca Autentica¸˜o ca Autoriza¸˜o Cloud ca Migrar para o OAuth 2.0 quando o mesmo sair do Computing HTTP rascunho. OAuth Estrutura F´ ısica Tecnologias
Obrigado Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Obrigado Vis˜o geral a Objetivos Procedimentos Obrigado. de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias

Empfohlen

Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...
Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...
Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...Fernando Geraldo Mantoan
 
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...Fernando Geraldo Mantoan
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Auditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxAuditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxEduardo Gouveia Monteiro
 
Apresentação E-Profile
Apresentação E-ProfileApresentação E-Profile
Apresentação E-ProfilePaulo Henrique Santini
 
Projeto de SW
Projeto de SWProjeto de SW
Projeto de SWJorge Barreto
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
#TheDevConf 2018 - spring boot ionic oauth2
#TheDevConf 2018 - spring boot ionic oauth2#TheDevConf 2018 - spring boot ionic oauth2
#TheDevConf 2018 - spring boot ionic oauth2Luiz Avila
 

Empfohlen

Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...
Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...
Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo ...Fernando Geraldo Mantoan
 
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...
Banca: Proposta de Arquitetura de Desenvolvimento Web Baseada em PHP Utilizan...Fernando Geraldo Mantoan
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Auditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxAuditoria Remota_2022 - Editado.pptx
Auditoria Remota_2022 - Editado.pptxEduardo Gouveia Monteiro
 
Apresentação E-Profile
Apresentação E-ProfileApresentação E-Profile
Apresentação E-ProfilePaulo Henrique Santini
 
Projeto de SW
Projeto de SWProjeto de SW
Projeto de SWJorge Barreto
 
TDC2016SP - Trilha Microservices
TDC2016SP - Trilha MicroservicesTDC2016SP - Trilha Microservices
TDC2016SP - Trilha Microservicestdc-globalcode
 
#TheDevConf 2018 - spring boot ionic oauth2
#TheDevConf 2018 - spring boot ionic oauth2#TheDevConf 2018 - spring boot ionic oauth2
#TheDevConf 2018 - spring boot ionic oauth2Luiz Avila
 
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2tdc-globalcode
 
Monitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed TracingMonitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed TracingRenato Groff
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT AuditoriaBrasscom
 
Sistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição ArquivísticaSistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição ArquivísticaAndreia Carvalho
 
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...Atech S.A. | Embraer Group
 
II SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência CorporativaII SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência CorporativaAtech S.A. | Embraer Group
 
Auditorias remotas
Auditorias remotasAuditorias remotas
Auditorias remotasPaul Flores
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
Modelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfModelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfSamuel Queles
 
Monitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application InsightsMonitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application InsightsRenato Groff
 
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...Intelie
 
Taxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesTaxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesDocumentar Tecnologia e Informação
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosEmerson Carlos
 
pfSense - Teoria sobre proxy
pfSense - Teoria sobre proxypfSense - Teoria sobre proxy
pfSense - Teoria sobre proxyCavalcante Treinamentos
 
Apresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTEApresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTEArteris S.A.
 
ALM - Testes Exploratórios
ALM - Testes ExploratóriosALM - Testes Exploratórios
ALM - Testes ExploratóriosAlan Carlos
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosStefan Teixeira
 
HTTP, Requisição e Resposta
HTTP, Requisição e RespostaHTTP, Requisição e Resposta
HTTP, Requisição e RespostaThiago Rondon
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Rafael Targino
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Marena Cutnei
 

Weitere ähnliche Inhalte

Ähnlich wie Banca: Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo OAuth

TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2tdc-globalcode
 
Monitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed TracingMonitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed TracingRenato Groff
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT AuditoriaBrasscom
 
Sistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição ArquivísticaSistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição ArquivísticaAndreia Carvalho
 
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...Atech S.A. | Embraer Group
 
II SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência CorporativaII SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência CorporativaAtech S.A. | Embraer Group
 
Auditorias remotas
Auditorias remotasAuditorias remotas
Auditorias remotasPaul Flores
 
Modelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfModelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfSamuel Queles
 
Monitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application InsightsMonitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application InsightsRenato Groff
 
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...Intelie
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosEmerson Carlos
 
Apresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTEApresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTEArteris S.A.
 
ALM - Testes Exploratórios
ALM - Testes ExploratóriosALM - Testes Exploratórios
ALM - Testes ExploratóriosAlan Carlos
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosStefan Teixeira
 
HTTP, Requisição e Resposta
HTTP, Requisição e RespostaHTTP, Requisição e Resposta
HTTP, Requisição e RespostaThiago Rondon
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Rafael Targino
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Marena Cutnei
 

Ähnlich wie Banca: Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo OAuth (20)

TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
TDC2018SP | Trilha Java Enterprise - Protegendo sua API Spring Boot com OAuth2
 
Monitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed TracingMonitorando serviços REST com o Application Insights e Distributed Tracing
Monitorando serviços REST com o Application Insights e Distributed Tracing
 
Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria Considerações Brasscom aos padrões de auditoria – GT Auditoria
Considerações Brasscom aos padrões de auditoria – GT Auditoria
 
Sistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição ArquivísticaSistemas de Gestão de Arquivo e Descrição Arquivística
Sistemas de Gestão de Arquivo e Descrição Arquivística
 
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
II SDTA - Desenvolvimento de um Simulador de Torre de Controle para Treinamen...
 
II SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência CorporativaII SDTA - Do Big Data à Inteligência Corporativa
II SDTA - Do Big Data à Inteligência Corporativa
 
Auditorias remotas
Auditorias remotasAuditorias remotas
Auditorias remotas
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
Modelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdfModelo de Laudo Perícia Digital.pdf
Modelo de Laudo Perícia Digital.pdf
 
Monitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application InsightsMonitorando serviços REST com o Application Insights
Monitorando serviços REST com o Application Insights
 
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
Poço WEB - VI ENHAPE - Encontro Nacional de Hidráulica de Perfuração de Poços...
 
Taxonomia Automatizada para Organizações
Taxonomia Automatizada para OrganizaçõesTaxonomia Automatizada para Organizações
Taxonomia Automatizada para Organizações
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlos
 
pfSense - Teoria sobre proxy
pfSense - Teoria sobre proxypfSense - Teoria sobre proxy
pfSense - Teoria sobre proxy
 
Apresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTEApresentação de resultados 4T10. TESTE
Apresentação de resultados 4T10. TESTE
 
ALM - Testes Exploratórios
ALM - Testes ExploratóriosALM - Testes Exploratórios
ALM - Testes Exploratórios
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
 
HTTP, Requisição e Resposta
HTTP, Requisição e RespostaHTTP, Requisição e Resposta
HTTP, Requisição e Resposta
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
 

Banca: Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo OAuth

  • 1. Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Estudo de Caso de uma Estrutura de Mantoan ca ´ Autentica¸˜o Unica Utilizando o Protocolo Introdu¸˜o ca Vis˜o geral a OAuth. Objetivos Procedimentos de Pesquisa Referencial Fernando Geraldo Mantoan Orientador: Prof. Esp. Diego de Carvalho Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca UTFPR - Universidade Tecnol´gica Federal do Paran´, Campus Medianeira o a Cloud Computing HTTP OAuth 11 de dezembro de 2011 Estrutura F´ ısica Tecnologias
  • 2. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 3. Introdu¸˜o ca Vis˜o geral a Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Vis˜o geral a Geraldo Mantoan Necessidade de restringir acesso; Introdu¸˜o ca Vis˜o geral a Objetivos Autentica¸˜o e Credenciais de acesso; ca Procedimentos OAuth e modelo tradicional cliente-servidor; de Pesquisa Referencial Resource Owner (Propriet´rio do recurso); a Te´rico o Seguran¸a c Cliente (Consumidores); Autentica¸˜o ca Autoriza¸˜o Cloud ca Acesso a recursos controlados. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 4. Introdu¸˜o ca Objetivos Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Objetivo Geral Introdu¸˜o ca Vis˜o geral a Propor uma estrutura para fornecer autentica¸˜o unica com o ca ´ Objetivos Procedimentos protocolo OAuth na plataforma Java, e implementar duas de Pesquisa mini-aplica¸˜es que utilizem esta estrutura de autentica¸˜o, co ca Referencial Te´rico o sendo elas de plataformas de programa¸˜o diferentes. ca Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 5. Introdu¸˜o ca Objetivos Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Objetivos Espec´ ıficos Fernando Geraldo Mantoan Explicar os conceitos de seguran¸a; c Introdu¸˜o ca Explanar o protocolo OAuth; Vis˜o geral a Objetivos Apresentar as tecnologias utilizadas no desenvolvimento Procedimentos de Pesquisa das aplica¸˜es; co Referencial Implementar uma aplica¸˜o que forne¸a autentica¸˜o ca c ca Te´rico o Seguran¸a c unica utilizando o protocolo OAuth; ´ Autentica¸˜o ca Autoriza¸˜o Cloud ca Implementar duas aplica¸˜es que se autenticam utilizando co Computing HTTP a estrutura OAuth implementada. OAuth Estrutura F´ ısica Tecnologias
  • 6. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 7. Procedimentos de Pesquisa Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Procedimentos de Pesquisa Introdu¸˜o ca Vis˜o geral a An´lise Bibliogr´fica; a a Objetivos Pesquisa Experimental; Procedimentos de Pesquisa Tipo de Pesquisa Referencial Te´rico o Aplicada Seguran¸a c Explorat´ria o Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 8. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 9. Seguran¸a c Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Seguran¸a c Geraldo Mantoan Componente cr´ ıtico; Introdu¸˜o ca Vis˜o geral a Objetivos Uso inteligente ´ um ponto chave; e Procedimentos Confidencialidade; de Pesquisa Referencial Integridade; Te´rico o Seguran¸a c Disponibilidade; Autentica¸˜o ca Autoriza¸˜o Cloud ca Autenticidade. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 10. Seguran¸a c Vulnerabilidades Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Vulnerabilidades Mantoan Introdu¸˜o ca Defeito relevante no sistema; Vis˜o geral a Objetivos Subvers˜o da pol´ a ıtica de seguran¸a; c Procedimentos de Pesquisa Vulnerabilidade de projeto; Referencial Te´rico o Vulnerabilidade de codifica¸˜o; ca Seguran¸a c Autentica¸˜o ca Vulnerabilidade operacional. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 11. Autentica¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Autentica¸˜o ca Mantoan Introdu¸˜o ca Identifica¸˜o de um usu´rio; ca a Vis˜o geral a Objetivos Mapeamento deste usu´rio; a Procedimentos de Pesquisa Dom´ ınios (anˆnimo e autenticado); o Referencial Te´rico o Anˆnimo: Independentes de identifica¸˜o; o ca Seguran¸a c Autentica¸˜o ca Autenticado: Funcionalidades protegidas. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 12. Autoriza¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Autoriza¸˜o ca Fernando Geraldo Mantoan Disponibilidade de dados e recursos autorizados para o Introdu¸˜o ca usu´rio; a Vis˜o geral a Objetivos Particionamento de funcionalidades; Procedimentos de Pesquisa Privil´gios, funcionalidades, dados e usu´rios; e a Referencial Te´rico o Mapeamento para pap´is; e Seguran¸a c Autentica¸˜o ca Checagens de autoridade para recursos; Autoriza¸˜o ca Cloud Computing Recurso protegido = Funcionalidade do sistema. HTTP OAuth Estrutura F´ ısica Tecnologias
  • 13. Cloud Computing Trabalho de Conclus˜o de a Curso - UTFPR - Cloud Computing 2011 Fernando Geraldo Forma com que infra-estruturas s˜o arquitetadas, a Mantoan compradas e implantadas; Introdu¸˜o ca Vis˜o geral a Utiliza¸˜o como um utilit´rio; ca a Objetivos Procedimentos Otimiza¸˜o t´tica; ca a de Pesquisa Artefato arquitetural estrat´gico; e Referencial Te´rico o Conjunto de solu¸˜es escal´veis; co a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Alugado ou utilizado conforme a necessidade; Cloud Computing HTTP Nuvem privada; OAuth Nuvem p´blica. u Estrutura F´ ısica Tecnologias
  • 14. HTTP Introdu¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Introdu¸˜o ca Mantoan Introdu¸˜o ca Hypertext Transfer Protocol; Vis˜o geral a Objetivos Navegadores de internet, servidores, aplica¸˜es web; co Procedimentos de Pesquisa Servidores web = conte´do; u Referencial Te´rico o Dados requisitados pelo cliente HTTP; Seguran¸a c Autentica¸˜o ca Pedidos HTTP e Respostas HTTP. Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 15. HTTP URI Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo URI Mantoan Introdu¸˜o ca Unified Resource Identifier ; Vis˜o geral a Objetivos Identificador unico de um recurso de um servidor web; ´ Procedimentos de Pesquisa Exclusivo; Referencial Te´rico o Exemplo: Seguran¸a c http://www.site.com/imagens/imagem.gif Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 16. HTTP URL Trabalho de Conclus˜o de a Curso - UTFPR - 2011 URL Fernando Geraldo Mantoan Uniform Resource Locator ; Introdu¸˜o ca Identificador de recurso; Vis˜o geral a Objetivos Localiza¸˜o de um recurso em um servidor; ca Procedimentos de Pesquisa Como obter o recurso; Referencial Exemplo: Te´rico o Seguran¸a c http://www.site.com/imagens/imagem.gif Autentica¸˜o ca Autoriza¸˜o ca Primeira parte: Esquema (http://); Cloud Computing Segunda parte: Endere¸o do servidor (www.site.com); c HTTP Restante: Recurso do servidor (/imagens/imagem.gif). OAuth Estrutura F´ ısica Tecnologias
  • 17. HTTP Transa¸˜es co Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Transa¸˜es co Introdu¸˜o ca Vis˜o geral a Objetivos Comando enviado do cliente ao servidor; Procedimentos de Pesquisa Resposta enviada do servidor ao cliente; Referencial Mensagens HTTP. Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 18. HTTP M´todos e Trabalho de Conclus˜o de a M´todos e Curso - UTFPR - 2011 Comandos de pedido; Fernando Geraldo A¸˜o a ser executada. ca Mantoan Introdu¸˜o ca M´todo e Descri¸˜o ca Vis˜o geral a Objetivos GET Envia um recurso nomeado do servidor ao Procedimentos cliente. de Pesquisa PUT Armazena dados de um cliente em um re- Referencial Te´rico o curso nomeado do servidor. Seguran¸a c Autentica¸˜o ca DELETE Exclui o recurso nomeado de um servidor. Autoriza¸˜o ca Cloud Computing POST Envia dados do cliente a uma aplica¸˜oca HTTP OAuth servidora de gateway. Estrutura HEAD Envia apenas os cabe¸alhos HTTP da re- c F´ ısica sposta para o recurso nomeado. Tecnologias
  • 19. HTTP C´digos de Estado o Trabalho de Conclus˜o de a C´digos de Estado o Curso - UTFPR - 2011 N´mero de trˆs d´ u e ıgitos; Fernando Geraldo Mantoan Resultado da execu¸˜o do pedido; ca Explica¸˜o textual. ca Introdu¸˜o ca Vis˜o geral a Objetivos C´digo de Estado o Descri¸˜o ca Procedimentos de Pesquisa 200 OK. Documento retornado com Referencial sucesso. Te´rico o Seguran¸a c 302 Redirect. Redireciona o usu´rio a Autentica¸˜o ca Autoriza¸˜o ca para outro lugar para obter o Cloud Computing HTTP recurso. OAuth 404 Not Found. N˜o foi poss´ en- a ıvel Estrutura F´ ısica contrar este recurso. Tecnologias
  • 20. HTTP Mensagens Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Mensagens Geraldo Mantoan Simples sequˆncias de caracteres orientadas por linha; e Introdu¸˜o ca Vis˜o geral a Mensagens de pedido (de clientes web a servidores); Objetivos Procedimentos Mensagens de resposta (de servidores a clientes web); de Pesquisa Trˆs partes: e Referencial Te´rico o Linha de in´ ınicio; Seguran¸a c Autentica¸˜o ca Campos de cabe¸alho; c Autoriza¸˜o ca Cloud Corpo. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 21. OAuth Introdu¸˜o ca Trabalho de Conclus˜o de a Curso - Introdu¸˜o ca UTFPR - 2011 Fernando Open Authentication; Geraldo Mantoan Padr˜o aberto; a Introdu¸˜o ca 2007, desenvolvedores web, delega¸˜o de acesso, 2009 ca Vis˜o geral a Objetivos Revis˜o 1.0A; a Procedimentos de Pesquisa Acesso em nome de um resource owner, acesso de Referencial terceiros; Te´rico o Seguran¸a c Cliente obt´m permiss˜ do resource owner ; e a Autentica¸˜o ca Autoriza¸˜o ca Cloud Token e chave secreta; Computing HTTP OAuth Sem compartilhar credenciais; Estrutura Escopo restrito, tempo de vida limitado, revoga¸˜o. ca F´ ısica Tecnologias
  • 22. OAuth Terminologia Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Terminologia Geraldo Mantoan Cliente; Introdu¸˜o ca Vis˜o geral a Objetivos Servidor; Procedimentos Recurso Protegido; de Pesquisa Referencial Propriet´rio do recurso (resource owner ); a Te´rico o Seguran¸a c Credenciais; Autentica¸˜o ca Autoriza¸˜o Cloud ca Token. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 23. OAuth Benef´ ıcios Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Benef´ ıcios Introdu¸˜o ca Vis˜o geral a Token de acesso abstrato sem compartilhar nenhuma das Objetivos senhas do usu´rio; a Procedimentos de Pesquisa Controle do usu´rio para revogar tokens; a Referencial Te´rico o Os tokens podem ser exibidos aos usu´rios. a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 24. OAuth Funcionamento Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Funcionamento Geraldo Mantoan Trˆs etapas: e Introdu¸˜o ca Cliente obt´m credenciais tempor´rias; e a Vis˜o geral a Objetivos Propriet´rio do recurso autoriza o pedido de acesso; a Procedimentos Conjunto de tokens do servidor. de Pesquisa Referencial Endpoints: Te´rico o Pedido de credencial tempor´ria; a Seguran¸a c Autentica¸˜o ca Autoriza¸˜o do Propriet´rio do Recurso; ca a Autoriza¸˜o ca Cloud Pedido de token. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 25. OAuth Funcionamento - Credenciais Tempor´rias a Trabalho de Conclus˜o de a Credenciais Tempor´rias a Curso - UTFPR - 2011 HTTP “POST“, endpoint de Pedido de credencial Fernando Geraldo tempor´ria; a Mantoan oauth callback; Introdu¸˜o ca Vis˜o geral a Credenciais do cliente; Objetivos Procedimentos SSL para a transmiss˜o dos dados; a de Pesquisa Conjunto de credenciais tempor´rias a Referencial Te´rico o Reposta: oauth token, oauth token secret, Seguran¸a c Autentica¸˜o ca oauth callback confirmed; Autoriza¸˜o ca Cloud Exemplo: HTTP/1.1 200 OK Content-Type: Computing HTTP application/x-www-form-urlencoded OAuth oauth token=hdk48Djdsa Estrutura F´ ısica &oauth token secret=xyz4992k83j47x0b Tecnologias &oauth callback confirmed=true
  • 26. OAuth Funcionamento - Autoriza¸˜o do Propriet´rio do Recurso ca a Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Autoriza¸˜o do Propriet´rio do Recurso ca a Fernando Geraldo Mantoan Usu´rio deve autorizar a requisi¸˜o; a ca Introdu¸˜o ca Endpoint de autoriza¸˜o do propriet´rio do recurso, ca a Vis˜o geral a Objetivos oauth token; Procedimentos Redirecionamento do agente de usu´rio; a de Pesquisa Referencial Informa¸˜es do cliente; co Te´rico o Seguran¸a c Autorizado, redireciona para oauth callback; Autentica¸˜o ca Autoriza¸˜o Cloud ca C´digo de verifica¸˜o (oauth verifier); o ca Computing HTTP OAuth Retorno omitido, exibe o c´digo de verifica¸˜o. o ca Estrutura F´ ısica Tecnologias
  • 27. OAuth Funcionamento - Credenciais de Token Trabalho de Conclus˜o de a Curso - UTFPR - Credenciais de Token 2011 Fernando HTTP “POST“ para o endpoint de pedido de token com Geraldo Mantoan o oauth verifier; Introdu¸˜o ca Credenciais do cliente e tempor´rias oauth token; a Vis˜o geral a Objetivos POST request token HTTP1.1 Procedimentos de Pesquisa Host: server.example.com Authorization: Referencial OAuth realm=‘‘Example’’, Te´rico o oauth consumer key=‘‘jd83jd92dhsh93js’’, Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca oauth token=‘‘hdk48Djdsa’’, Cloud Computing oauth signature method=‘‘PLAINTEXT’’, HTTP OAuth oauth verifier=‘‘473f82d3’’, Estrutura oauth signature=‘‘ja893SD9%26xyz4992k83j47x0b’’ F´ ısica Tecnologias
  • 28. OAuth Funcionamento - Credenciais de Token Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Credenciais de Token Fernando Geraldo Validade do pedido, autoriza¸˜o o fornecimento do token, ca Mantoan credenciais n˜o expiradas; a Introdu¸˜o ca Vis˜o geral a C´digo de verifica¸˜o; o ca Objetivos Procedimentos Pedido v´lido = Resposta com token e c´d 200 “OK”; a o de Pesquisa Resposta: oauth token e oauth token secret; Referencial Te´rico o HTTP/1.1 200 OK Seguran¸a c Autentica¸˜o ca Content-Type: Autoriza¸˜o ca application/x-www-form-urlencoded Cloud Computing oauth token=j49ddk933skd9dks HTTP OAuth &oauth token secret=ll399dj47dskfjdk Estrutura F´ ısica Tecnologias
  • 29. OAuth Requisi¸oes autenticadas c˜ Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Requisi¸˜es autenticadas co Geraldo Mantoan Requisi¸˜es autenticadas do protocolo HTTP; co Introdu¸˜o ca Vis˜o geral a Credenciais do cliente e do propriet´rio do recurso; a Objetivos Procedimentos Necess´rio obter credenciais de token; a de Pesquisa Parˆmetros: oauth consumer key, oauth token, a Referencial Te´rico o oauth signature method, oauth timestamp, Seguran¸a c Autentica¸˜o ca oauth nonce, oauth version; Autoriza¸˜o ca Cloud Computing Envia o pedido autenticado ao servidor. HTTP OAuth Estrutura F´ ısica Tecnologias
  • 30. OAuth Requisi¸oes autenticadas c˜ Trabalho de Conclus˜o de a Requisi¸˜es autenticadas co Curso - UTFPR - 2011 Exemplo: Fernando Geraldo POST request?b5¯%3D%253D&a3=a&c%40=&a2=r%20b Mantoan HTTP/1.1 Introdu¸˜o ca Host: example.com Vis˜o geral a Objetivos Content-Type: Procedimentos de Pesquisa application/x-www-form-urlencoded Referencial Authorization: OAuth realm=‘‘Example’’, Te´rico o Seguran¸a c oauth consumer key=‘‘9djdj82h48djs9d2’’, Autentica¸˜o ca Autoriza¸˜o ca oauth token=‘‘kkk9d7dh3k39sjv7’’, Cloud Computing oauth signature method=‘‘HMAC-SHA1’’, HTTP OAuth oauth timestamp=‘‘137131201’’, Estrutura oauth nonce=‘‘7d8f3e4a’’, F´ ısica Tecnologias oauth signature=‘‘bYT5CMsGcbgUdFHObYMEfcx6bsw%3D’’ c2&a3=2+q
  • 31. OAuth Experiˆncia do usu´rio e a Trabalho de Conclus˜o de a Curso - Experiˆncia do usu´rio e a UTFPR - 2011 Fernando Menos intrus˜o; a Geraldo Mantoan Tela de autoriza¸˜o com informa¸˜es do cliente; ca co Introdu¸˜o ca Autorizar/Revogar. Vis˜o geral a Objetivos Procedimentos de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Figura: Tela de autoriza¸˜o do Twitter ca Tecnologias
  • 32. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 33. Estrutura F´ ısica Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Estrutura F´ ısica Geraldo Mantoan GNU/Linux Ubuntu 11.10; Introdu¸˜o ca Vis˜o geral a Navegador de internet Opera 11 e Chromium; Objetivos Procedimentos Fast Ethernet 100; de Pesquisa Notebook: Referencial Te´rico o CPU Pentium Dual Core T2130 1.86GHz; Seguran¸a c Autentica¸˜o ca 2 GB de mem´ria DDR2 667MHz; o Autoriza¸˜o Cloud ca HD de 160 GB SATA. Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 34. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 35. Tecnologias Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Tecnologias Fernando Geraldo Mantoan Java; Introdu¸˜o ca Vis˜o geral a Spring MVC, Spring Security, Spring Security OAuth; Objetivos Hibernate; Procedimentos de Pesquisa PHP e Zend Framework; Referencial Te´rico o Play! Framework; Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca HTML5 e CSS3; Cloud Computing MySQL. HTTP OAuth Estrutura F´ ısica Tecnologias
  • 36. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 37. Implementa¸˜o ca Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Implementa¸˜o ca Introdu¸˜o ca Vis˜o geral a Objetivos Servidor OAuth; Procedimentos de Pesquisa Aplica¸˜o de Agenda de Contatos; ca Referencial Aplica¸˜o de Controle de Finan¸as. ca c Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 38. Implementa¸˜o ca Servidor OAuth Trabalho de Conclus˜o de a Curso - Servidor OAuth UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Procedimentos de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Figura: Arquitetura Tecnologias
  • 39. Implementa¸˜o ca Servidor OAuth Trabalho de Conclus˜o de a Servidor OAuth Curso - UTFPR - 2011 Model-View-Controller ; Fernando Geraldo Spring MVC, Spring Security e Spring Security OAuth; Mantoan Configura¸˜o de endpoints OAuth; ca Introdu¸˜o ca Vis˜o geral a Defini¸˜o dos controladores, servi¸os e reposit´rios; ca c o Objetivos Procedimentos Views com HTML5 e CSS3; de Pesquisa Servi¸o de tokens em mem´ria. c o Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias Figura: Banco de Dados
  • 40. Implementa¸˜o ca Aplica¸˜o de Agenda de Contatos ca Trabalho de Conclus˜o de a Aplica¸˜o de Agenda de Contatos ca Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Figura: Banco de Dados Procedimentos de Pesquisa Referencial Agenda simples de contatos; Te´rico o Seguran¸a c Play! Framework; Autentica¸˜o ca Autoriza¸˜o ca M´dulo OAuth e configura¸˜o dos endpoints, o ca Cloud Computing HTTP redirecionamento; OAuth Autentica¸˜o por OAuth; ca Estrutura F´ ısica No callback obt´m dados do perfil com uma requisi¸˜o e ca Tecnologias autenticada e armazena em sess˜o; a
  • 41. Implementa¸˜o ca Aplica¸˜o de Controle de Finan¸as ca c Trabalho de Conclus˜o de a Aplica¸˜o de Controle de Finan¸as ca c Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Vis˜o geral a Objetivos Figura: Banco de Dados Procedimentos de Pesquisa Referencial Aplica¸˜o simples de lan¸amentos de cr´ditos e d´bitos; ca c e e Te´rico o Seguran¸a c PHP 5.3 e Zend Framework; Autentica¸˜o ca Autoriza¸˜o Cloud ca Zend Oauth Consumer configura¸˜es de endpoints, co Computing HTTP redirecionamento; OAuth Estrutura No callback obt´m dados do perfil com uma requisi¸˜o e ca F´ ısica autenticada e armazena no Zend Auth; Tecnologias Views com HTML5 e CSS3.
  • 42. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 43. Resultados Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Resultados Vis˜o geral a Objetivos Procedimentos Apresenta¸˜o das aplica¸˜es desenvolvidas. ca co de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias
  • 44. Sum´rio a Trabalho de 1 Introdu¸˜o ca Conclus˜o de a Curso - Vis˜o geral a UTFPR - 2011 Objetivos Fernando 2 Procedimentos de Pesquisa Geraldo Mantoan 3 Referencial Te´rico o Seguran¸a c Introdu¸˜o ca Vis˜o geral a Autentica¸˜o ca Objetivos Procedimentos Autoriza¸˜o ca de Pesquisa Cloud Computing Referencial Te´rico o HTTP Seguran¸a c OAuth Autentica¸˜o ca Autoriza¸˜o ca 4 Estrutura F´ısica Cloud Computing HTTP 5 Tecnologias OAuth 6 Implementa¸˜o ca Estrutura F´ ısica Servidor OAuth Tecnologias Aplica¸˜o de Agenda de Contatos ca
  • 45. Conclus˜es o Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Conclus˜es o Geraldo Mantoan Seguran¸a ´ um ponto crucial; c e Introdu¸˜o ca Centraliza¸˜o das credenciais; ca Vis˜o geral a Objetivos Tokens, OAuth, protocolo amplamente utilizado no Procedimentos de Pesquisa mercado; Referencial Te´rico o Diversas bibliotecas dispon´ ıveis; Seguran¸a c Autentica¸˜o ca Transparˆncia para o usu´rio; e a Autoriza¸˜o ca Cloud Computing Controle do que pode acessar seus dados. HTTP OAuth Estrutura F´ ısica Tecnologias
  • 46. Conclus˜es o Trabalhos Futuros Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Trabalhos Futuros Fernando Geraldo Mantoan Persistir tokens no banco de dados; Introdu¸˜o ca Persistir consumidores no banco de dados, permitindo aos Vis˜o geral a Objetivos administradores controlar melhor os consumidores; Procedimentos de Pesquisa Listar aos usu´rios as aplica¸˜es autorizadas por ele; a co Referencial Revogar as aplica¸˜es listadas e limpar os dados do co Te´rico o Seguran¸a c usu´rio na aplica¸˜o; a ca Autentica¸˜o ca Autoriza¸˜o Cloud ca Migrar para o OAuth 2.0 quando o mesmo sair do Computing HTTP rascunho. OAuth Estrutura F´ ısica Tecnologias
  • 47. Obrigado Trabalho de Conclus˜o de a Curso - UTFPR - 2011 Fernando Geraldo Mantoan Introdu¸˜o ca Obrigado Vis˜o geral a Objetivos Procedimentos Obrigado. de Pesquisa Referencial Te´rico o Seguran¸a c Autentica¸˜o ca Autoriza¸˜o ca Cloud Computing HTTP OAuth Estrutura F´ ısica Tecnologias