Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Banca: Estudo de Caso de uma Estrutura de Autenticação Única utilizando o protocolo OAuth
1. Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Estudo de Caso de uma Estrutura de
Mantoan
ca ´
Autentica¸˜o Unica Utilizando o Protocolo
Introdu¸˜o
ca
Vis˜o geral
a
OAuth.
Objetivos
Procedimentos
de Pesquisa
Referencial
Fernando Geraldo Mantoan
Orientador: Prof. Esp. Diego de Carvalho
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
UTFPR - Universidade Tecnol´gica Federal do Paran´, Campus Medianeira
o a
Cloud
Computing
HTTP
OAuth 11 de dezembro de 2011
Estrutura
F´
ısica
Tecnologias
2. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
3. Introdu¸˜o
ca
Vis˜o geral
a
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Vis˜o geral
a
Geraldo
Mantoan
Necessidade de restringir acesso;
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos
Autentica¸˜o e Credenciais de acesso;
ca
Procedimentos OAuth e modelo tradicional cliente-servidor;
de Pesquisa
Referencial Resource Owner (Propriet´rio do recurso);
a
Te´rico
o
Seguran¸a
c Cliente (Consumidores);
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Acesso a recursos controlados.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
4. Introdu¸˜o
ca
Objetivos
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Objetivo Geral
Introdu¸˜o
ca
Vis˜o geral
a Propor uma estrutura para fornecer autentica¸˜o unica com o
ca ´
Objetivos
Procedimentos
protocolo OAuth na plataforma Java, e implementar duas
de Pesquisa mini-aplica¸˜es que utilizem esta estrutura de autentica¸˜o,
co ca
Referencial
Te´rico
o
sendo elas de plataformas de programa¸˜o diferentes.
ca
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
5. Introdu¸˜o
ca
Objetivos
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011 Objetivos Espec´
ıficos
Fernando
Geraldo
Mantoan Explicar os conceitos de seguran¸a;
c
Introdu¸˜o
ca Explanar o protocolo OAuth;
Vis˜o geral
a
Objetivos Apresentar as tecnologias utilizadas no desenvolvimento
Procedimentos
de Pesquisa
das aplica¸˜es;
co
Referencial Implementar uma aplica¸˜o que forne¸a autentica¸˜o
ca c ca
Te´rico
o
Seguran¸a
c unica utilizando o protocolo OAuth;
´
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Implementar duas aplica¸˜es que se autenticam utilizando
co
Computing
HTTP a estrutura OAuth implementada.
OAuth
Estrutura
F´
ısica
Tecnologias
6. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
7. Procedimentos de Pesquisa
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Procedimentos de Pesquisa
Introdu¸˜o
ca
Vis˜o geral
a
An´lise Bibliogr´fica;
a a
Objetivos
Pesquisa Experimental;
Procedimentos
de Pesquisa Tipo de Pesquisa
Referencial
Te´rico
o
Aplicada
Seguran¸a
c Explorat´ria
o
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
8. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
9. Seguran¸a
c
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Seguran¸a
c
Geraldo
Mantoan
Componente cr´
ıtico;
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos
Uso inteligente ´ um ponto chave;
e
Procedimentos Confidencialidade;
de Pesquisa
Referencial Integridade;
Te´rico
o
Seguran¸a
c Disponibilidade;
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Autenticidade.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
10. Seguran¸a
c
Vulnerabilidades
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo Vulnerabilidades
Mantoan
Introdu¸˜o
ca Defeito relevante no sistema;
Vis˜o geral
a
Objetivos Subvers˜o da pol´
a ıtica de seguran¸a;
c
Procedimentos
de Pesquisa Vulnerabilidade de projeto;
Referencial
Te´rico
o
Vulnerabilidade de codifica¸˜o;
ca
Seguran¸a
c
Autentica¸˜o
ca
Vulnerabilidade operacional.
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
11. Autentica¸˜o
ca
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo Autentica¸˜o
ca
Mantoan
Introdu¸˜o
ca Identifica¸˜o de um usu´rio;
ca a
Vis˜o geral
a
Objetivos Mapeamento deste usu´rio;
a
Procedimentos
de Pesquisa Dom´
ınios (anˆnimo e autenticado);
o
Referencial
Te´rico
o
Anˆnimo: Independentes de identifica¸˜o;
o ca
Seguran¸a
c
Autentica¸˜o
ca Autenticado: Funcionalidades protegidas.
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
12. Autoriza¸˜o
ca
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Autoriza¸˜o
ca
Fernando
Geraldo
Mantoan
Disponibilidade de dados e recursos autorizados para o
Introdu¸˜o
ca usu´rio;
a
Vis˜o geral
a
Objetivos
Particionamento de funcionalidades;
Procedimentos
de Pesquisa Privil´gios, funcionalidades, dados e usu´rios;
e a
Referencial
Te´rico
o Mapeamento para pap´is;
e
Seguran¸a
c
Autentica¸˜o
ca Checagens de autoridade para recursos;
Autoriza¸˜o
ca
Cloud
Computing Recurso protegido = Funcionalidade do sistema.
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
13. Cloud Computing
Trabalho de
Conclus˜o de
a
Curso -
UTFPR - Cloud Computing
2011
Fernando
Geraldo Forma com que infra-estruturas s˜o arquitetadas,
a
Mantoan
compradas e implantadas;
Introdu¸˜o
ca
Vis˜o geral
a
Utiliza¸˜o como um utilit´rio;
ca a
Objetivos
Procedimentos
Otimiza¸˜o t´tica;
ca a
de Pesquisa
Artefato arquitetural estrat´gico;
e
Referencial
Te´rico
o Conjunto de solu¸˜es escal´veis;
co a
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Alugado ou utilizado conforme a necessidade;
Cloud
Computing
HTTP
Nuvem privada;
OAuth
Nuvem p´blica.
u
Estrutura
F´
ısica
Tecnologias
14. HTTP
Introdu¸˜o
ca
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo Introdu¸˜o
ca
Mantoan
Introdu¸˜o
ca Hypertext Transfer Protocol;
Vis˜o geral
a
Objetivos Navegadores de internet, servidores, aplica¸˜es web;
co
Procedimentos
de Pesquisa Servidores web = conte´do;
u
Referencial
Te´rico
o
Dados requisitados pelo cliente HTTP;
Seguran¸a
c
Autentica¸˜o
ca Pedidos HTTP e Respostas HTTP.
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
15. HTTP
URI
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo URI
Mantoan
Introdu¸˜o
ca Unified Resource Identifier ;
Vis˜o geral
a
Objetivos Identificador unico de um recurso de um servidor web;
´
Procedimentos
de Pesquisa Exclusivo;
Referencial
Te´rico
o
Exemplo:
Seguran¸a
c http://www.site.com/imagens/imagem.gif
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
16. HTTP
URL
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011 URL
Fernando
Geraldo
Mantoan
Uniform Resource Locator ;
Introdu¸˜o
ca
Identificador de recurso;
Vis˜o geral
a
Objetivos
Localiza¸˜o de um recurso em um servidor;
ca
Procedimentos
de Pesquisa
Como obter o recurso;
Referencial Exemplo:
Te´rico
o
Seguran¸a
c
http://www.site.com/imagens/imagem.gif
Autentica¸˜o
ca
Autoriza¸˜o
ca
Primeira parte: Esquema (http://);
Cloud
Computing
Segunda parte: Endere¸o do servidor (www.site.com);
c
HTTP Restante: Recurso do servidor (/imagens/imagem.gif).
OAuth
Estrutura
F´
ısica
Tecnologias
17. HTTP
Transa¸˜es
co
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Transa¸˜es
co
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos Comando enviado do cliente ao servidor;
Procedimentos
de Pesquisa
Resposta enviada do servidor ao cliente;
Referencial Mensagens HTTP.
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
18. HTTP
M´todos
e
Trabalho de
Conclus˜o de
a M´todos
e
Curso -
UTFPR -
2011 Comandos de pedido;
Fernando
Geraldo A¸˜o a ser executada.
ca
Mantoan
Introdu¸˜o
ca M´todo
e Descri¸˜o
ca
Vis˜o geral
a
Objetivos
GET Envia um recurso nomeado do servidor ao
Procedimentos cliente.
de Pesquisa
PUT Armazena dados de um cliente em um re-
Referencial
Te´rico
o curso nomeado do servidor.
Seguran¸a
c
Autentica¸˜o
ca DELETE Exclui o recurso nomeado de um servidor.
Autoriza¸˜o
ca
Cloud
Computing
POST Envia dados do cliente a uma aplica¸˜oca
HTTP
OAuth
servidora de gateway.
Estrutura HEAD Envia apenas os cabe¸alhos HTTP da re-
c
F´
ısica
sposta para o recurso nomeado.
Tecnologias
19. HTTP
C´digos de Estado
o
Trabalho de
Conclus˜o de
a C´digos de Estado
o
Curso -
UTFPR -
2011
N´mero de trˆs d´
u e ıgitos;
Fernando
Geraldo
Mantoan
Resultado da execu¸˜o do pedido;
ca
Explica¸˜o textual.
ca
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos
C´digo de Estado
o Descri¸˜o
ca
Procedimentos
de Pesquisa 200 OK. Documento retornado com
Referencial sucesso.
Te´rico
o
Seguran¸a
c 302 Redirect. Redireciona o usu´rio
a
Autentica¸˜o
ca
Autoriza¸˜o
ca para outro lugar para obter o
Cloud
Computing
HTTP
recurso.
OAuth
404 Not Found. N˜o foi poss´ en-
a ıvel
Estrutura
F´
ısica contrar este recurso.
Tecnologias
20. HTTP
Mensagens
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Mensagens
Geraldo
Mantoan
Simples sequˆncias de caracteres orientadas por linha;
e
Introdu¸˜o
ca
Vis˜o geral
a Mensagens de pedido (de clientes web a servidores);
Objetivos
Procedimentos Mensagens de resposta (de servidores a clientes web);
de Pesquisa
Trˆs partes:
e
Referencial
Te´rico
o Linha de in´
ınicio;
Seguran¸a
c
Autentica¸˜o
ca Campos de cabe¸alho;
c
Autoriza¸˜o
ca
Cloud
Corpo.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
21. OAuth
Introdu¸˜o
ca
Trabalho de
Conclus˜o de
a
Curso - Introdu¸˜o
ca
UTFPR -
2011
Fernando Open Authentication;
Geraldo
Mantoan Padr˜o aberto;
a
Introdu¸˜o
ca 2007, desenvolvedores web, delega¸˜o de acesso, 2009
ca
Vis˜o geral
a
Objetivos Revis˜o 1.0A;
a
Procedimentos
de Pesquisa Acesso em nome de um resource owner, acesso de
Referencial terceiros;
Te´rico
o
Seguran¸a
c Cliente obt´m permiss˜ do resource owner ;
e a
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud Token e chave secreta;
Computing
HTTP
OAuth
Sem compartilhar credenciais;
Estrutura Escopo restrito, tempo de vida limitado, revoga¸˜o.
ca
F´
ısica
Tecnologias
22. OAuth
Terminologia
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Terminologia
Geraldo
Mantoan
Cliente;
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos
Servidor;
Procedimentos Recurso Protegido;
de Pesquisa
Referencial Propriet´rio do recurso (resource owner );
a
Te´rico
o
Seguran¸a
c Credenciais;
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Token.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
23. OAuth
Benef´
ıcios
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan Benef´
ıcios
Introdu¸˜o
ca
Vis˜o geral
a Token de acesso abstrato sem compartilhar nenhuma das
Objetivos
senhas do usu´rio;
a
Procedimentos
de Pesquisa Controle do usu´rio para revogar tokens;
a
Referencial
Te´rico
o Os tokens podem ser exibidos aos usu´rios.
a
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
24. OAuth
Funcionamento
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Funcionamento
Geraldo
Mantoan
Trˆs etapas:
e
Introdu¸˜o
ca Cliente obt´m credenciais tempor´rias;
e a
Vis˜o geral
a
Objetivos Propriet´rio do recurso autoriza o pedido de acesso;
a
Procedimentos Conjunto de tokens do servidor.
de Pesquisa
Referencial
Endpoints:
Te´rico
o Pedido de credencial tempor´ria;
a
Seguran¸a
c
Autentica¸˜o
ca Autoriza¸˜o do Propriet´rio do Recurso;
ca a
Autoriza¸˜o
ca
Cloud Pedido de token.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
25. OAuth
Funcionamento - Credenciais Tempor´rias
a
Trabalho de
Conclus˜o de
a Credenciais Tempor´rias
a
Curso -
UTFPR -
2011 HTTP “POST“, endpoint de Pedido de credencial
Fernando
Geraldo
tempor´ria;
a
Mantoan
oauth callback;
Introdu¸˜o
ca
Vis˜o geral
a
Credenciais do cliente;
Objetivos
Procedimentos
SSL para a transmiss˜o dos dados;
a
de Pesquisa
Conjunto de credenciais tempor´rias
a
Referencial
Te´rico
o Reposta: oauth token, oauth token secret,
Seguran¸a
c
Autentica¸˜o
ca oauth callback confirmed;
Autoriza¸˜o
ca
Cloud Exemplo: HTTP/1.1 200 OK Content-Type:
Computing
HTTP application/x-www-form-urlencoded
OAuth
oauth token=hdk48Djdsa
Estrutura
F´
ısica &oauth token secret=xyz4992k83j47x0b
Tecnologias &oauth callback confirmed=true
26. OAuth
Funcionamento - Autoriza¸˜o do Propriet´rio do Recurso
ca a
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011 Autoriza¸˜o do Propriet´rio do Recurso
ca a
Fernando
Geraldo
Mantoan Usu´rio deve autorizar a requisi¸˜o;
a ca
Introdu¸˜o
ca Endpoint de autoriza¸˜o do propriet´rio do recurso,
ca a
Vis˜o geral
a
Objetivos
oauth token;
Procedimentos Redirecionamento do agente de usu´rio;
a
de Pesquisa
Referencial Informa¸˜es do cliente;
co
Te´rico
o
Seguran¸a
c Autorizado, redireciona para oauth callback;
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca
C´digo de verifica¸˜o (oauth verifier);
o ca
Computing
HTTP
OAuth
Retorno omitido, exibe o c´digo de verifica¸˜o.
o ca
Estrutura
F´
ısica
Tecnologias
27. OAuth
Funcionamento - Credenciais de Token
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
Credenciais de Token
2011
Fernando HTTP “POST“ para o endpoint de pedido de token com
Geraldo
Mantoan o oauth verifier;
Introdu¸˜o
ca Credenciais do cliente e tempor´rias oauth token;
a
Vis˜o geral
a
Objetivos POST request token HTTP1.1
Procedimentos
de Pesquisa
Host: server.example.com Authorization:
Referencial
OAuth realm=‘‘Example’’,
Te´rico
o oauth consumer key=‘‘jd83jd92dhsh93js’’,
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
oauth token=‘‘hdk48Djdsa’’,
Cloud
Computing
oauth signature method=‘‘PLAINTEXT’’,
HTTP
OAuth
oauth verifier=‘‘473f82d3’’,
Estrutura oauth signature=‘‘ja893SD9%26xyz4992k83j47x0b’’
F´
ısica
Tecnologias
28. OAuth
Funcionamento - Credenciais de Token
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Credenciais de Token
Fernando
Geraldo Validade do pedido, autoriza¸˜o o fornecimento do token,
ca
Mantoan
credenciais n˜o expiradas;
a
Introdu¸˜o
ca
Vis˜o geral
a
C´digo de verifica¸˜o;
o ca
Objetivos
Procedimentos
Pedido v´lido = Resposta com token e c´d 200 “OK”;
a o
de Pesquisa
Resposta: oauth token e oauth token secret;
Referencial
Te´rico
o HTTP/1.1 200 OK
Seguran¸a
c
Autentica¸˜o
ca
Content-Type:
Autoriza¸˜o
ca application/x-www-form-urlencoded
Cloud
Computing oauth token=j49ddk933skd9dks
HTTP
OAuth &oauth token secret=ll399dj47dskfjdk
Estrutura
F´
ısica
Tecnologias
29. OAuth
Requisi¸oes autenticadas
c˜
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Requisi¸˜es autenticadas
co
Geraldo
Mantoan
Requisi¸˜es autenticadas do protocolo HTTP;
co
Introdu¸˜o
ca
Vis˜o geral
a
Credenciais do cliente e do propriet´rio do recurso;
a
Objetivos
Procedimentos
Necess´rio obter credenciais de token;
a
de Pesquisa
Parˆmetros: oauth consumer key, oauth token,
a
Referencial
Te´rico
o oauth signature method, oauth timestamp,
Seguran¸a
c
Autentica¸˜o
ca oauth nonce, oauth version;
Autoriza¸˜o
ca
Cloud
Computing
Envia o pedido autenticado ao servidor.
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
30. OAuth
Requisi¸oes autenticadas
c˜
Trabalho de
Conclus˜o de
a Requisi¸˜es autenticadas
co
Curso -
UTFPR -
2011 Exemplo:
Fernando
Geraldo POST request?b5¯%3D%253D&a3=a&c%40=&a2=r%20b
Mantoan
HTTP/1.1
Introdu¸˜o
ca Host: example.com
Vis˜o geral
a
Objetivos Content-Type:
Procedimentos
de Pesquisa
application/x-www-form-urlencoded
Referencial Authorization: OAuth realm=‘‘Example’’,
Te´rico
o
Seguran¸a
c
oauth consumer key=‘‘9djdj82h48djs9d2’’,
Autentica¸˜o
ca
Autoriza¸˜o
ca
oauth token=‘‘kkk9d7dh3k39sjv7’’,
Cloud
Computing oauth signature method=‘‘HMAC-SHA1’’,
HTTP
OAuth oauth timestamp=‘‘137131201’’,
Estrutura oauth nonce=‘‘7d8f3e4a’’,
F´
ısica
Tecnologias
oauth signature=‘‘bYT5CMsGcbgUdFHObYMEfcx6bsw%3D’’
c2&a3=2+q
31. OAuth
Experiˆncia do usu´rio
e a
Trabalho de
Conclus˜o de
a
Curso -
Experiˆncia do usu´rio
e a
UTFPR -
2011
Fernando
Menos intrus˜o;
a
Geraldo
Mantoan Tela de autoriza¸˜o com informa¸˜es do cliente;
ca co
Introdu¸˜o
ca
Autorizar/Revogar.
Vis˜o geral
a
Objetivos
Procedimentos
de Pesquisa
Referencial
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica Figura: Tela de autoriza¸˜o do Twitter
ca
Tecnologias
32. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
33. Estrutura F´
ısica
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando Estrutura F´
ısica
Geraldo
Mantoan
GNU/Linux Ubuntu 11.10;
Introdu¸˜o
ca
Vis˜o geral
a Navegador de internet Opera 11 e Chromium;
Objetivos
Procedimentos Fast Ethernet 100;
de Pesquisa
Notebook:
Referencial
Te´rico
o CPU Pentium Dual Core T2130 1.86GHz;
Seguran¸a
c
Autentica¸˜o
ca 2 GB de mem´ria DDR2 667MHz;
o
Autoriza¸˜o
Cloud
ca
HD de 160 GB SATA.
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
34. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
35. Tecnologias
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Tecnologias
Fernando
Geraldo
Mantoan
Java;
Introdu¸˜o
ca
Vis˜o geral
a
Spring MVC, Spring Security, Spring Security OAuth;
Objetivos
Hibernate;
Procedimentos
de Pesquisa PHP e Zend Framework;
Referencial
Te´rico
o Play! Framework;
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
HTML5 e CSS3;
Cloud
Computing MySQL.
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
36. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
37. Implementa¸˜o
ca
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Implementa¸˜o
ca
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos Servidor OAuth;
Procedimentos
de Pesquisa
Aplica¸˜o de Agenda de Contatos;
ca
Referencial Aplica¸˜o de Controle de Finan¸as.
ca c
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
38. Implementa¸˜o
ca
Servidor OAuth
Trabalho de
Conclus˜o de
a
Curso - Servidor OAuth
UTFPR -
2011
Fernando
Geraldo
Mantoan
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos
Procedimentos
de Pesquisa
Referencial
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica Figura: Arquitetura
Tecnologias
39. Implementa¸˜o
ca
Servidor OAuth
Trabalho de
Conclus˜o de
a Servidor OAuth
Curso -
UTFPR -
2011 Model-View-Controller ;
Fernando
Geraldo Spring MVC, Spring Security e Spring Security OAuth;
Mantoan
Configura¸˜o de endpoints OAuth;
ca
Introdu¸˜o
ca
Vis˜o geral
a Defini¸˜o dos controladores, servi¸os e reposit´rios;
ca c o
Objetivos
Procedimentos
Views com HTML5 e CSS3;
de Pesquisa
Servi¸o de tokens em mem´ria.
c o
Referencial
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
Figura: Banco de Dados
40. Implementa¸˜o
ca
Aplica¸˜o de Agenda de Contatos
ca
Trabalho de
Conclus˜o de
a Aplica¸˜o de Agenda de Contatos
ca
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos Figura: Banco de Dados
Procedimentos
de Pesquisa
Referencial
Agenda simples de contatos;
Te´rico
o
Seguran¸a
c
Play! Framework;
Autentica¸˜o
ca
Autoriza¸˜o
ca M´dulo OAuth e configura¸˜o dos endpoints,
o ca
Cloud
Computing
HTTP
redirecionamento;
OAuth
Autentica¸˜o por OAuth;
ca
Estrutura
F´
ısica
No callback obt´m dados do perfil com uma requisi¸˜o
e ca
Tecnologias
autenticada e armazena em sess˜o;
a
41. Implementa¸˜o
ca
Aplica¸˜o de Controle de Finan¸as
ca c
Trabalho de
Conclus˜o de
a Aplica¸˜o de Controle de Finan¸as
ca c
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Introdu¸˜o
ca
Vis˜o geral
a
Objetivos Figura: Banco de Dados
Procedimentos
de Pesquisa
Referencial
Aplica¸˜o simples de lan¸amentos de cr´ditos e d´bitos;
ca c e e
Te´rico
o
Seguran¸a
c PHP 5.3 e Zend Framework;
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Zend Oauth Consumer configura¸˜es de endpoints,
co
Computing
HTTP
redirecionamento;
OAuth
Estrutura
No callback obt´m dados do perfil com uma requisi¸˜o
e ca
F´
ısica autenticada e armazena no Zend Auth;
Tecnologias
Views com HTML5 e CSS3.
42. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
43. Resultados
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Introdu¸˜o
ca Resultados
Vis˜o geral
a
Objetivos
Procedimentos Apresenta¸˜o das aplica¸˜es desenvolvidas.
ca co
de Pesquisa
Referencial
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
44. Sum´rio
a
Trabalho de 1 Introdu¸˜o
ca
Conclus˜o de
a
Curso -
Vis˜o geral
a
UTFPR -
2011
Objetivos
Fernando 2 Procedimentos de Pesquisa
Geraldo
Mantoan 3 Referencial Te´rico
o
Seguran¸a
c
Introdu¸˜o
ca
Vis˜o geral
a Autentica¸˜o
ca
Objetivos
Procedimentos
Autoriza¸˜o
ca
de Pesquisa Cloud Computing
Referencial
Te´rico
o
HTTP
Seguran¸a
c OAuth
Autentica¸˜o
ca
Autoriza¸˜o
ca 4 Estrutura F´ısica
Cloud
Computing
HTTP
5 Tecnologias
OAuth
6 Implementa¸˜o
ca
Estrutura
F´
ısica Servidor OAuth
Tecnologias Aplica¸˜o de Agenda de Contatos
ca
45. Conclus˜es
o
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Conclus˜es
o
Geraldo
Mantoan
Seguran¸a ´ um ponto crucial;
c e
Introdu¸˜o
ca Centraliza¸˜o das credenciais;
ca
Vis˜o geral
a
Objetivos
Tokens, OAuth, protocolo amplamente utilizado no
Procedimentos
de Pesquisa mercado;
Referencial
Te´rico
o
Diversas bibliotecas dispon´
ıveis;
Seguran¸a
c
Autentica¸˜o
ca Transparˆncia para o usu´rio;
e a
Autoriza¸˜o
ca
Cloud
Computing
Controle do que pode acessar seus dados.
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias
46. Conclus˜es
o
Trabalhos Futuros
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Trabalhos Futuros
Fernando
Geraldo
Mantoan Persistir tokens no banco de dados;
Introdu¸˜o
ca Persistir consumidores no banco de dados, permitindo aos
Vis˜o geral
a
Objetivos administradores controlar melhor os consumidores;
Procedimentos
de Pesquisa
Listar aos usu´rios as aplica¸˜es autorizadas por ele;
a co
Referencial Revogar as aplica¸˜es listadas e limpar os dados do
co
Te´rico
o
Seguran¸a
c usu´rio na aplica¸˜o;
a ca
Autentica¸˜o
ca
Autoriza¸˜o
Cloud
ca Migrar para o OAuth 2.0 quando o mesmo sair do
Computing
HTTP
rascunho.
OAuth
Estrutura
F´
ısica
Tecnologias
47. Obrigado
Trabalho de
Conclus˜o de
a
Curso -
UTFPR -
2011
Fernando
Geraldo
Mantoan
Introdu¸˜o
ca Obrigado
Vis˜o geral
a
Objetivos
Procedimentos Obrigado.
de Pesquisa
Referencial
Te´rico
o
Seguran¸a
c
Autentica¸˜o
ca
Autoriza¸˜o
ca
Cloud
Computing
HTTP
OAuth
Estrutura
F´
ısica
Tecnologias