Com tantos sites e aplicações disponíveis no mundo digital hoje, muitas vezes, para utilizar os serviços e/ou acessar seus conteúdos, é necessário possuir um cadastro. Imagine a quantidade de senhas a serem gerenciadas para cada site e aplicação, se cada vez que queira acessar algo novo, ter que criar um novo cadastro? Ou criar e gerenciar novas senhas? Até porque esse numero elevado de senhas, desgasta o usuário em questão de criatividade, e muitos acabam utilizando senhas fracas, e ou também utilizando a mesma senha para mais de uma aplicação.

Hoje, muitas dessas aplicações, dispõe da opção de realizar o login por uma conta Google ou também uma conta de Facebook. Tanto o Google quanto o Facebook, utilizam de um protocolo de autorização chamado OAuth, para liberar acesso limitado aos dados do usuário e ao acesso a suas APIS.

Mas como o OAuth funciona?  

O QUE É O OAUTH?

Primeiramente, vamos entender o que o OAuth é realmente. Ele é um protocolo de autorização para APIS WEB, e tem por objetivo permitir que aplicações Client, acessem recursos protegidos, em nome de um usuário, e sem expor suas credenciais. Ele fornece um fluxo de autorização para aplicações web e desktop e para dispositivos móveis.

Em um exemplo simples, em um site que permita Login com o Google, o Web Service dessa aplicação, solicita que o usuário, dê permissão para ler seu perfil do Google, para que o Web Service, possa acessar e copiar informações desse perfil, afim de facilitar a vida do usuário, que por sua vez não precisará informar alguns dados de cadastro, já que os mesmo foram reaproveitados do seu perfil do Google.

COMO ELE FUNCIONA?

De uma forma geral, o OAuth fornece aos clientes, um acesso seguro aos recursos do servidor, em nome do proprietário do recurso. Para isso, ele especifica um processo de autorização, que solicita ao proprietário, acesso de terceiros a seus recursos, sem compartilhar suas credenciais. Há também uma questão a se levantar, sobre segurança, pois com a utilização das contas do Google ou Facebook, ou demais, as questões de segurança são de responsabilidades dos mesmos.

Quando o proprietário autoriza o acesso, o OAuth, retorna um Token de acesso, para que o terceiro que solicitou, obtenha somente as informações e recursos liberados.

O OAuth, define quatro principais papéis:

  • Proprietário do Recurso: É o usuário que autoriza que uma aplicação terceira, tenha acesso a sua conta. Esse acesso é limitado ao “escopo” da autorização concedida, como por exemplo, o acesso liberado as informações são somente para leitura, nesse caso, a aplicação terceira só consegue buscar os dados, mas nunca modifica-los.
  • Cliente: É a aplicação de terceiros, que deseja acessar a conta do usuário. Para isso, ela deve ser autorizada pelo usuário, e essa autorização será validada pela API.
  • Servidor de Recurso: Basicamente, o servidor de recurso, é aonde ficam hospedadas as contas de usuário protegidas.
  • Servidor de Autorização: Nesse servidor, é verificado a identidade do usuário que está concedendo o acesso a sua conta, e de onde serão emitidos os Tokens de acesso, caso a validação do usuário seja efetuada.

Fluxo do OAuth

  • Primeiramente a aplicação solicita ao usuário, autorização para acessar os recursos do serviço em que ele possui conta cadastrada.
  • Caso o usuário autorize, será enviado para o provedor de serviços do usuário, Google, Facebook, ou outros, informando sua identidade, ou seja, que aplicação está solicitando o acesso, a uri de redirecionamento, para onde a aplicação será redirecionada caso haja a autorização, o tipo de resposta esperada, geralmente é um código, e o nível de acesso que a aplicação está solicitando. Veja um exemplo abaixo:
    • https://minhaaplicacao.com/v1/oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=CALLBACK_URL&scope=read
  • Em seguida a aplicação solicitará ao servidor de autorização, um Token de acesso, utilizando sua própria identificação, ou seja, a aplicação deve dizer quem ela é, e utilizando a concessão recebida do usuário.
  • Na API, será verificado a identidade da aplicação que solicita o acesso, e a concessão de acesso dada pelo usuário, e se validadas as duas informações, será emitido um Token de acesso para a aplicação.
  • Agora com o Token em mãos, a aplicação solicitará o recurso ao servidor de recursos.
  • Se o Token for validado pelo servidor de recursos, o mesmo fornecerá o acesso para a aplicação.

Esse fluxo apresentado, pode variar dependendo do tipo de concessão de autorização que foi definido. Mas de maneira geral, o processo segue dessa forma. Importante salientar que o provedor dos dados, Google, Facebook, entre outros, deve confiar, conhecer o provedor OAuth, porque caso não seja de conhecimento dos provedores, o Token apresentado pelo OAuth para acessar as informações será rejeitado.

Autor: Anderson Luis Massens Ramos

Referências

https://pt.wikipedia.org/wiki/OAuth

https://www.digitalocean.com/community/tutorials/uma-introducao-ao-oauth-2-pt

https://support.google.com/a/answer/162106?hl=pt-BR

https://pt.stackoverflow.com/questions/123777/oauth-o-que-%C3%A9-qual-sua-finalidade

https://www.profissionaisti.com.br/2019/07/seguranca-introducao-ao-protocolo-de-autorizacao-oauth/