GuiadeOrientaosobreOAutheSeguranadeAPIs

SimplifiqueaimplementaodoOAuthnasuaempresa

WhitePaper

GuiadeOrientaosobreOAutheSeguranadeAPIs

ndice
OqueoOAuth?..........................................................................................................................................3
VocpodeapresentarumexemplosimplesdoOAuth?..............................................................................4
Esseproblemajnofoiresolvidoantes?....................................................................................................6
QuaisasdiferenasdoOAuth2.0paraasversesanteriores?....................................................................6
PorquedifcilfazeroOAuth?....................................................................................................................9
ComoaLayer7meajudaaimplementaroOAuth?...................................................................................10
QualavantagemdeumOAuthToolkit?..................................................................................................11
ComoaLayer7ajudanoscasosdeusodeduasoutrspernasdoOAuth?..............................................11
SobreaLayer7............................................................................................................................................13
EntreemcontatocomaLayer7.............................................................................................................13
InformaesJurdicas.............................................................................................................................13

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

OqueoOAuth?
OOAuthumpadroemergentedaWebparaautorizaroacessolimitadoaaplicativosedados.Ele
projetadodemodoqueosusuriospossamconcederacessorestritoaosrecursosquepossuem(tais
comoimagensqueresidemnumsitecomooFlickrouSmugMug)aumclienteexternocomumlocalde
impressodefotos.Anteseracomumpediraousurioparacompartilharseunomedeusurioesua
senhacomocliente,umasolicitaoenganosamentesimplesquemascaraumriscoinaceitvelparaa
segurana.Aocontrriodisso,oOAuthpromoveummodelodeprivilgiosmnimos,permitindoqueum
usurioconcedaacessolimitadoaosseusaplicativosedadosatravsdaemissodeumtokencom
recursoslimitados.
OOAuthimportanteporquecolocaagestodadelegaodaWebnasmosdoverdadeirodonodo
recurso.OusurioligaospontosentreassuascontasemdiferentesaplicativosdaWeb,sem
envolvimentodiretodosadministradoresdeseguranaemcadarespectivosite.Essarelaopodeser
duradoura,maspodeserfacilmenteencerradaaqualquermomentopelousurio.Umdosgrandes
avanosqueoOAuthtrazparaacomunidadedaWebaformalizaodoprocessodedelegaoda
correlaodeidentidadescomosusurios.
OOAuthestrapidamentesetornandoumpadrofundamentaldaWebmodernaetemcrescidomuito
almdassuasrazesnamdiasocial.OOAuthpassouasermuitoimportanteparaaempresa;
seguradoras,operadorasdeTVacaboeatmesmoprestadoresdeserviosmdicosestousandoo
OAuthparagerenciaroacessoaosseusrecursos.Grandepartedessaadoopromovidapela
necessidadedasempresasdecontemplarclientesedispositivosmveiscadavezmaisdiversos,
especificamente.EssasempresasestoimplementandoAPIsdemaneiraarrojadaparaatenderesse
novocanaldedistribuio,eoOAuthamelhorprticaparaaautorizaodeAPIs.
MasimportantereconhecerqueoOAuthapenasumcomponentedeumasoluocompletade
controledeacessoeseguranadeAPIs.fcilseconcentrarnosdetalhesdoprotocoloeperderdevista
oquadrogeraldaGestodeAPIs,queabrangetudo,desdeogerenciamentodeusuriosataauditoria,
alimitaoeadetecodeameaas.Muitasvezes,asAPIsrepresentamumcanaldiretocomaplicativos
corporativosessenciais.Elasprecisamdeumasoluodeseguranadegrandeporteparaproteglas.
ALayer7estempenhadaemfornecerinfraestruturapermitirqueosaplicativosdasempresasusemo
OAuth.Oferecemossoluesdropin(desdeonossoProxydeAPIdebaixocustoatoSOAGatewayeo
MobileAccessGatewaycompletos)queseintegramtotalmenteaosinvestimentosjrealizadosna
tecnologiadegestodeidentidadeeacesso(IAM)paracriarummodelodeautorizaouniformeem
todaaempresa.TodasassoluesdaLayer7paraGatewayestodisponveiscomoimagensvirtuais
simplesdeimplementar.ALayer7tambmofereceaflexibilidadedeseintegrarcomimplementaes
deterceirosdoOAuth,quepodemnosertotalmentecompatveiscomospadresatuais.Dessaforma,
vocficaisoladodasmudanasprovenientesdeumatecnologiaemrpidaevoluo.
EstewhitepaperdaLayer7TechnologiesdescreveoqueoOAuthemostracomovocpodefazercom
queoOAuthsejasimplesnasuaempresa.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

VocpodeapresentarumexemplosimplesdoOAuth?
AmdiasocialfoiamaiordasprimeirasaplicaesaadotaroOAuth.OFacebookeoTwitterdevem
boapartedoseusucessoaofatodenoseremsimplesmentesitesindependentes,massimplataformas
queincentivamaintegraocomoutrosaplicativos.OspontosdeintegraosoAPIsRESTful
quenormalmenteusamoOAuthcomomeiodeautenticao,autorizaoevinculaodediferentes
contaspessoais.
OTwittereoFacebooksoexcelentesexemplosdoOAuthnaprtica.Comomuitaspessoas,
provavelmentevoctenhacontasseparadasemambasessasusinasdemdiasocial.Seusnomesde
contaspodemsersemelhantes(eemnomedeumaboasegurana,esperoquevocusesenhas
diferentes),maselassocontasdistintasadministradasemlocaisdiferentes.Ento,comopossvel
organizarascoisasparaqueseustweetsapareaminstantaneamentenomuraldoseuFacebook?
Emoutrostempos,provavelmentevocprecisariaarmazenarseunomedeusurioesuasenhado
FacebooknoseuperfildoTwitter.Dessaforma,semprequevocpublicasseumnovotweet,o
aplicativodoTwitterpoderiarealizarologinparavocpubliclosimultaneamentenoFacebook.Essa
abordagempassouaserconhecidacomoo"antipadro"desenhas,e,porvriasrazes,noumaboa
ideia.ConfiaraoTwitterasuasenhadoFacebooksimplesmenteconferepoderdemaisaesseaplicativo.
Seumhackerquisessecomprometerositeouseumadministradorinternofossedesonesto,eles
poderiamusarsuasenhasemcriptografiaparapublicarfotosprejudiciais,trancloforadoFacebookou
atmesmoapagartodooseuperfil.
Felizmente,oTwittereoFacebookusamoOAuthparasuperaresseproblema.OOAuthtemum
modelodeautorizaodelegadaquepermiteaoTwitterpublicarnoseumural,eapenasisso.Isso
mostradonaFigura1abaixo.

Figura1:OOAuthpermitequeoTwitterpubliquetweetsnasuacontadoFacebooksemusarasuasenha
doFacebook.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

Dopontodevistadousurio,ainteraomuitosimpleseintuitiva.VocpodeacompanhlanaFigura
2abaixo.PelopaineldeconfiguraesdoTwitter,ousurioclicanumbotoqueotransfereparao
Facebook,ondeelepoderiniciarumasesso.Issocriaumaassociaoentreduascontasseparadas
desseusurio,semnenhumaparticipaodosadministradoresdeseguranadoFacebookoudo
Twitter.UmavezautenticadonoFacebook,ousuriopassaporumacerimniadeconsentimento,na
qualpoderescolherosubconjuntodeprivilgiosquedesejaconcederaoTwitterparapermitirqueo
aplicativoatueemseunome.Finalmente,ousuriovoltaautomaticamenteaoTwitter,ondepode
recomearapublicartweets,que,agora,tambmaparecemnoseumuraldoFacebook.Arelaoque
elescriarampersisteindefinidamenteouatqueelesdecidemdesfazlaexplicitamente,usando
controlesqueseencontramnapginadeconfiguraes.

Figura2:ComoumusurioautorizaoTwitterapublicartweetsnoseumuraldoFacebook.

Paraousurio,umprocessosimpleseintuitivoe,defato,grandepartedoapelodoOAuth.Masnos
bastidoresocorreumainteraomuitomaiscomplexaentreossites,muitasvezeschamadade"dana
doOAuth".TripdoOAuth"onomepopulardasituaodescritaaqui.oexemplodeusomais
comumdaespecificaoOAuth1.0a,agorapublicadacomoRFC5849.
Essaespecificaodetalhada,massurpreendentementelimitada.Eladefineofluxode
redirecionamentoquepermiteaumusurioassociarsuascontas,autorizarumsubconjuntolimitadode
operaesedevolverumtokenopacoqueoTwitterpodemanterdeformaseguraparaoacesso,em
vezdeumasenhaonipotente.Elaaindadetalha(pelomenosnaverso1.0)ummtodoparavincularo
tokenaumcontedodeparmetroutilizandoassinaturasdigitais,permitindo,assim,verificaesde
integridadedocontedoenviadoatravsdecanaissemcriptografia.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

UmdospontosfortesdaespecificaoOAuth1.0aque,aoinvsdetentardefinirumaestruturade
autorizaogeneralizada,elesepropeaoferecerumasoluoparaoproblemacomumdeprojeto
descritoacima.Foiumainiciativadebasedepessoasquetinhamumproblemaaresolver,eomomento
foiperfeito.Nosurpresanenhumaqueelatenhasidoumsucessoestrondoso,implementadaem
sitescomooGoogle,DropBox,SalesForce,FourSquareeLinkedIn.
Noentanto,oOAuth,estevoluindo.Averso2,publicadaemoutubrode2012,ambiciosamente
pretendecontemplarumconjuntomuitomaisgeneralizadodecasosdeuso.Isso,naturalmente,
aumentaacomplexidadedasoluoecontribuiparaadificuldadeenfrentadapelosdesenvolvedores
quetentamimplementlaparaprotegerasAPIsdasempresas.

Esseproblemajnofoiresolvidoantes?
Noexistemprocessosformaisetotalmentedefinidosparaenderearoproblemadaautorizao
delegadaqueoOAuthresolve.Seusprojetistaspensaramnasalternativaseapresentaramapenasum
punhadodesolues(completamentefechadas).Anecessidadefoi,certamente,amedainvenodo
OAuth,masaaberturaeraumobjetivoessencial.
CertamentepossvelqueaSAML,usadanamaioriadasvezesparaoLoginnico(SSO)federado,
pudesseserusadacomoumformatodetokenparacomunicaroperaesdelegadasentresites,usando
otipodetokenremetentecomprovante.Noentanto,aSAMLnodefinesozinhaofluxodeinteraes
paraestabelecerarelaodeconfianaouavinculaodecontas.Almdisso,sendoumformatoXML
muitocomplexo,aSAMLnoseunecomasprticasatuaisdedesenvolvimentocentradasemprincpios
RESTfuleemestruturasdedadosJSONsimples.
OOpenIDtentouoferecerumaWebcomloginnico.Nummundoperfeito,ondeoOpenIDseria
universal,talvezoOAuthnuncativessesidonecessrio.Masapesardosucessoemsitesinfluentes,
comooYahooeoWordPress,oOpenIDnuncafoiadotadodemaneirageneralizada.Noentanto,o
OpenIDpodeterumasegundachancedesucessopelamaneiracomoelecomplementaoOAuth.

QuaisasdiferenasdoOAuth2.0paraasversesanteriores?
OOAuth1evoluiumuitorapidamenteporcausadademanda.Eleofereciaumasoluoparaum
problemacomumesuaadoopelosprincipaisaplicativossociaisdeulheamplaexposio.A
implementaomaiscomumnomomentoa1.0a,queincorporaumapequenamodificaoem
relaoespecificaooriginal,paratratardeumavulnerabilidadedesegurana.
Aespecificao1.0abemprojetadaecompleta,masapenasparaumconjuntorestritodecasosde
uso.Semdvida,esseumdosseuspontosfortes.Elefazumacoisas,masfazmuitobem.OOAuth
1.0gozadeamploapoio,combibliotecasdisponveisnamaioriadosidiomas.Mesmoassim,elesofrede
umaspectobastante"artesanal",umacaractersticaquepodeatrairosdesenvolvedoresindividuais,
masdeixaasempresas"nageladeira".

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

OAuth1.0atemalgumasoutrascomplexidadesquetmimpedidosuaaceitaomaisampla.Eleleva
aosclientesumacomplexidade(especialmenteemtermosdoprocessamentodacriptografia)quepode
serdifcildeprogramarusandolinguagenscomooJavaScriptPorexemplo,oOAuth1.0aexigequeos
clientesassinemparmetrosHTTP;essaumaboaideiaparaastransmissessemcriptografia(um
padrodeusocomumnaWebconvencional),masnemtantocomasAPIs.
Oprprioprocessodeassinaturaconfusoporcausadanecessidadedecanonizarosparmetros(por
exemplo,normalizaraordenao,lidarcomseqnciasdeescape,etc.).Essatemsidoumagrande
fontedefrustraoparaosdesenvolvedores,pois,muitasvezes,osclienteseservidoresderecursos
interpretamdemaneiradiferenteaaplicaodasassinaturas.
Certamenteexistembibliotecasquepodemajudarnessecaso,masumproblemamaiorquea
exignciadeassinaturalimitaacapacidadedosdesenvolvedoresdetestarastransaespormeiode
utilitriosdelinhadecomandosimples,comoocURL.GrandepartedoquetornaoestilodoRESTful
maisatraentedoquealternativascomoosServiosdeWebSOAPqueoprimeirodispensa
ferramentasespeciaisparaprogramao.AsassinaturasdoOAuthatuamcontraessavantagem.
Aespecificaoanteriortambmtinhaumavisolimitadadostiposdeclientes.Nocasomaislimpo,do
trip,oclienteerageralmenteumaplicativodaWeb.Noentanto,osdesenvolvedoresqueriamcadavez
maisusaroOAuthemaplicativosexecutadosdentrodeumnavegadorouemaplicativosindependentes
executadosemdispositivosmveis,comotelefonesoutablets.IssopossvelcomoOAuth1.0,masa
experinciadousurioruim,poispodeenvolverumaoperaoestranhadecopiarecolarentreo
navegadoreoaplicativo.
OAuth2.0tentageneralizaraimplementaooriginaldoOAuthparasimplificarodesenvolvimentode
clientes,melhoraraexperinciageraldousurioeampliarasimplementaesdoOAuth.Issoexigiu
mudanasconsiderveisenoretrocompatveiscomversesanteriores.
Anovaespecificaoseparaexplicitamenteasfunesdeautorizaoedecontroledeacesso.Agorao
servidordeautorizaototalmenteseparadodoservidorderecursos.Almdasegregaolgicade
papis,issotambmpromoveousodeumservidorcentraldeautorizaoeadistribuiodevrios
servidoresderecursos,parecidocomumaarquiteturaclssicadeSSO.Naverdade,umservidorde
autorizaoOAuth2.0oequivalenteRESTfuldeumserviodetokendesegurana(STS).

Figura3:OOAuth2.0fazumadistinoclaraentreoservidordeautorizaoeoservidorderecursos,eainda
defineosfluxosquedescrevemaaquisiodotoken.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

OOAuth2.0tentacontemplartrsperfisdeclientes:aplicativosWebconvencionais;aplicativosdentro
deumagentedeusurio(isto,umnavegadordaWeb);aplicativosoriginais(comoumaplicativode
telefonecelular,umsettopboxouatmesmoumconsoledejogos).Cadaumdelespodeterdiferentes
recursosemtermosdeinteraoentreosproprietriosdosrecursos,osservidoresdeautorizaoeos
recursosprotegidos.Cadaumtambmpodeestarsujeitoadiferentesrequisitosdesegurana.A
especificaodescreveumasriedenovasconcessesdeautorizaoparaatenderaessas
necessidadesdiversas.Asconcessesdescrevemumprocessopeloqualumclientepodeadquiriracesso
autorizadoaumrecurso.
Essasconcessessoasseguintes:
CdigodeAutorizaoEstaconcessodescreveasituaotpicadotrip,naqualoclienteum
aplicativodaWeb,comooTwitter.Eleusaumcdigodeautorizaointermedirioparadelegara
autorizaocomseguranadeumservidordeautorizaoparaumcliente,atravsdoagentede
usuriodoproprietriodorecurso(navegador).Eletemavantagemdequeascredenciaisdo
proprietriodeumrecursonuncaserocompartilhadascomocliente,nemotokendeacessoser
compartilhadocomoagentedeusuriodoproprietriodorecurso,ondeelepoderiaser
sequestrado.
ImplcitaEstaumaconcessoumpoucomaissimples,maisadequadaparaaplicativosexecutados
dentrodeumagentedeusurio,taiscomoaplicativosemJavaScript.Oclienteadquire
diretamenteumtokendeacessodoservidordeautorizao.Issoeliminagrandeparteda
complexidadedocdigodeautorizaointermedirio,mastemadesvantagemdequeo
proprietriodorecursopodeobterotokendeacesso.
CredenciaisdesenhadoproprietriodorecursoNestaconcesso,oproprietriodorecurso
compartilhaascredenciaisdiretamentecomocliente,queasutilizaparaobterdiretamenteum
tokendeacesso,numanicatransao.Ascredenciaisnopermanecem,poisoclienteusaotoken
deacessoemtodasasinteraessubsequentescomrecursosprotegidos.Esteumfluxomuito
simples,masexigequehajaconfianaentreoproprietriodeumrecursoeumcliente.
CredenciaisdoclienteNestefluxo,oclienteusasuasprpriascredenciaisparaacessarumrecurso.
Assim,elerealmenteusaosdireitosexistentesdocliente.
Almdessasconcesses,existeummecanismodeextensibilidadeparacontemplaroutrasformasde
autorizao.Porexemplo,existeumaespecificaodedetentordetokenemSAMLquedescreveouso
detokensSAMLcomomeiodeadquirirtokensdeacessodoOAuth.Issomuitoimportanteporque
representaumaponteentreainfraestruturadeSSOclssicadosnavegadoreseasAPIsmodernas.
OstokensmudaramnoOAuth2.0paramelhorarogerenciamentodesesses.Antes,ostokensde
acessotinhamumavidamuitolonga(atumano)ou,comoocasodoTwitter,elestinhamumavida
tililimitada.OOAuth2.0introduzoconceitodetokensdecurtaduraoeautorizaesdelonga
durao.Agoraosservidoresdeautorizaoemitemtokensdeatualizaodecliente.Essessotokens
devidalongaqueumclientepodeusarvriasvezesparaadquirirtokensdeacessodecurtoprazo.Uma
dasvantagensdissoquetantoosproprietriosdosrecursoscomoosadministradoresdesegurana
podemfacilmente,seprecisarem,impedirqueosclientesadquiramnovostokens.
Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

Agora,asassinaturasdetokenssoopcionais.Aprefernciausartokenssimplesdeportador(ouseja,
otokenusadodiretamenteparaobteracessoeconsideradosecreto)protegidosporSSL.Isso
muitomaissimplesdoqueprocessarassinaturas,emboraestaltimaaindaexistanumaforma
simplificadaparapermitirtransaesquenosejamporSSL.

PorquedifcilfazeroOAuth?
NodifcilcriarumaprovadeconceitosimplesdoOAuth,poishbibliotecasnamaioriadasprincipais
linguagensquepodemajudarcomadificuldadedeescrevermanualmenteocdigodeuma
demonstraocompletadoOAuth.Noentanto,implementaroOAuthemescala(emqueovolumede
transaes,onmerodeAPIsaprotegereonmerodeclientesdiferentescontribuemparaaescala)
continuasendoumgrandedesafioparaqualquergrupodedesenvolvimentoeoperaes.
OOAuth2.0tambmumalvoemmovimento.Aespecificao1.0aresolveuumproblema,eresolveu
obem.Noentanto,oaumentodaabrangnciaeageneralizaodanovaespecificaocriaramuma
ambiguidadeconsidervel,quetornaainteroperabilidadeextremamentedifcil.porissoquemuitos
aplicativosderedessociais(opblicoprincipaldomovimentodoOAuth)permanecemnaespecificao
1.0,esperandoqueascoisasseacalmem.
Aaberturadeformatosdetokenilustraissomuitobem.Embora,porumlado,issotenhasimplificado
muitooprocessodeassinatura,queeradifcilparaosdesenvolvedoresnasespecificaesanteriores,
tambmintroduziuacapacidadedeencapsulardiferentestokens(comoaSAML),abrindo
oportunidadesparaaproveitarosinvestimentosjrealizados,mastambmcriandoproblemas
considerveisdeinteroperabilidade.
OmaiorerroqueaspessoascometemcomoOAuthhojeemdiaolharparaeledeformaisolada.O
OAuth,defato,umatendnciaconvincente,masapenasumapeadoquebracabeadocontrolede
acessonasempresas.Aautorizaonopodeserditadaexclusivamentepelocliente.Aempresaque
hospedaorecursoprotegidotambmdeveterocontrole.AsimplementaesdeOAuthcomponto
nicoraramentereconhecemessaviademodupla,masaconfianaeocontrolerecprocosso
essenciaisparaaempresa.
OOAuthdeveserumapartedosistemageraldecontroledeacessoporpolticasparaasAPIsdas
empresas,enoapenasumasoluoindependente.Ocontroledeacessoporpolticasdaambasas
partesocontrolesobreoacesso.Eleincorporacontrolestaiscomorestriesporhoradodiaelistas
brancas/negrasdeIP.EleidentificaeneutralizaameaascomoosataquesdeInjeodeSQLouCross
SiteScripting(XSS).Elecomparaosparmetroseocontedodasmensagens(inclusiveJSONouXML)
comvaloresaceitveis.Eleseintegratotalmentecomossistemasdeauditoriadaempresa,deforma
queosfornecedoresderecursossaibamexatamentequemestacessandooqueequando.E,
finalmente,umcontroledeacessocompletoporpolticaspermiteogerenciamentodeSLAs,moldando
ascomunicaesderede,encaminhandoastransaesparaosservidoresdisponveiselimitandoo
excessodetrfegoantesqueelepossaafetaraexperinciadosusuriosouameaarosservidores.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

GuiadeOrientaosobreOAutheSeguranadeAPIs

AempresanuncapensariaemcriarsuaprpriainfraestruturadeIAMparaseusite.Osarquitetose
desenvolvedoresreconhecemqueissomuitomaiordoqueaautenticaobsicasimplesdeHTTP.O
OAuthsemelhante,enganosamentesimples,mas,emltimaanlise,umapartedeumprocessogeral
deautorizaomuitocomplexo.

ComoaLayer7meajudaaimplementaroOAuth?
ALayer7forneceumasoluocompleta,prontaparausar,paraasimplementaesdeOAuth1.0ae
OAuth2.0.OOAuthfazpartedomecanismocompletodecontroledeacessoporpolticasdoAPIProxy,
SOAGatewayeMobileAccessGatewaydaLayer7.EsserealmenteoOAuthemescala,processando
dezenasdemilharesdetransaesporsegundonumanicainstnciadeGateway.Essesgateways
podemserimplementadoscomoaplicativosfsicosouimagensvirtuaisdebaixocusto.Ambosos
formatoslevamumainfraestruturadeseguranadenvelmilitaraoOAuthdaempresa,incorporando
mdulosdecriptografiacomcertificaoFIPS,detecodeameaasavanadas,gerenciamentode
trfegodeSLAecontroledeacessoindividualizado,numnicopacote.comoterumguardanasua
porta,emvezdeapenasumcadeado.
OsGatewaysdaLayer7podemserinstaladostantocomoservidoresdeautorizao(SA)quantocomo
servidoresderecursos(SR)protegidos.Ambososelementosdearquiteturapodemsercombinados
numanicainstnciadeGateway,oupodemserseparados,permitindoqueumSAcentralizadoatenda
avriasinstnciasdistribudasdeSR,comoilustraaFigura4abaixo.

Figura4:OsgatewaysdaLayer7simplificamaimplementaodoOAuth.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

10

GuiadeOrientaosobreOAutheSeguranadeAPIs

ComoosGatewayssodistribudosemformafsicaevirtual;elespermitemamaiorgamapossvelde
implementaes.Osgatewaysfsicosestodisponveiscommdulosdeseguranadehardware(HSMs)
onboard,oferecendoproteoessencialparaosambientesmaisseguros.Osappliancesvirtuais
simplificamaimplementaoepodemserexecutadosemqualquerlugar,docomputadordemesaata
infraestruturadeservidordemaiorcapacidade.

QualavantagemdeumOAuthToolkit?
OOAuthToolkitdaLayer7usamodelospadronizados,criadosfuncionarlogonoinciopara
implementaestpicasdoOAuth.Usandoos,osclientespodemincluirrecursosrobustosdeOAuthnas
APIsexistentesemquestodeminutos,nodedias.
Porm,averdadequeasoluodetamanhonicoprometidaportantosfornecedoresraramente
funcionabemforadeumasituaodeoportunidadesinexploradasmuitolimitadas.Porexemplo,a
maioriadosprojetosreaistemsistemasdeidentidadeexistentesqueprecisamacessar,ou
infraestruturasdePKIcomasquaiselesprecisamseintegrar.Comoumsetor,somosmuitobonsem
integraodeaplicativosedados;aintegraodeseguranacontinuasendoumproblema.
Paraenfrentarmelhoressesproblemasdeintegrao,aLayer7tambmfornececomponentesbsicos
doOAuth,desdecriptografiaatcanonizaodeparmetrosatogerenciamentodesesses.Essesso
osmesmoscomponentesbsicosusadosemnossasoluocompletaeprontaparauso,massurgiram
comoafirmaescompletamenteconfigurveisdentrodeumapolticadecontroledeacesso.Isso
permitequeosarquitetosedesenvolvedoresajustemsuasimplementaesdoOAuthparaenfrentar
praticamentequalquerdesafioqueelesvenhamaencontrar.
PersonalizaracerimniadeautorizaodoOAuthoutrareaqueaproveitamuitoaaberturados
modelosdaLayer7,complementadapelopoderdeferramentasflexveiseabertas.Estabelecera
confianainicialumapartefundamentaldetodooprocessodoOAuth.ALayer7permitequevoc
personalizetotalmenteessaetapaparagarantirsuaintegraocomainfraestruturaexistentede
identidadeseatendesnecessidadesdeconformidadedaempresa.

ComoaLayer7ajudanoscasosdeusodeduasoutrspernasdoOAuth?
OsGatewaysdaLayer7podemprestarserviosdeautorizaodeterminaisecontroledeacessopara
serviosprotegidos.EssasduasfunespodemcoexistirnumnicoGateway,oupodemserseparadas.
Avantagemdeseparlasdizrespeitoescalabilidade,redundnciaedistribuiogeogrficados
servios.Eletambmpermiteoalinhamentoemtornodecasosdenegcios,comoadivisofsicade
APIscorporativaseAPIspblicas.AmaioriadasempresastemumgrandenmerodeAPIsaproteger,
muitasvezesfornecidasapartirdevrioslocaisdiferentes.Nessescasos,fazsentidoinstalarGateways
centralizadosdaLayer7comoservidoresdeautorizao(muitasvezesnumclusterpararedundncia)e
clustersremotosdeGatewaysparaprotegerinstnciasespecficasdeAPIs.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

11

GuiadeOrientaosobreOAutheSeguranadeAPIs

Figura5:Implementaotpicaparaasituaoclssicade"duaspernas"ouconcessestaiscomocredenciaisde
proprietriodorecursoecredenciaisdocliente.

Ambosospadresdeimplementaopodematendersimultaneamenteasverses1.0ae2.0doOAuth.
Essepadrotambmfuncionaparaassituaesclssicasdeduasetrs"pernas",ecomomodelode
concessodoOAuth2.0,inclusiveconcessesdeextenso,comootokendeportadordaSAML.Essas
implementaessoilustradasnaFigura5dapginaanteriorenaFigura6abaixo.

Figura6:Situaestpicasdeimplementaoemtrspernaseaconcessodocdigodeautorizao,bemcomo
ostiposimplcitosdeconcesso.ObservequeosGatewaysdaLayer7podereconhecersimultaneamentetodasas
versesdoOAuth,bemcomoascorrelaespersonalizadasparadarcontadeproblemasdeinteroperabilidade.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

12

GuiadeOrientaosobreOAutheSeguranadeAPIs

SobreaLayer7
ApremiadatecnologiadeGatewaydaLayer7possibilitaquegrandesempresasconectemcom
seguranaseussistemaslocaisdeTIcomdepartamentosgeograficamentedispersos,empresas
parceiras,desenvolvedoresexternos,aplicativosmveiseserviosnanuvem
Distribudosnasversesfsica,demquinavirtualedesoftware,instaladosnolocalounanuvem,os
GatewaysdaLayer7estoajudandoalgumasdasempresasmaispreocupadascomaseguranado
mundoacompartilhardadosentreasfronteirasorganizacionais.
Osprincipaisinstitutosdeanlise,comoGartnereForresterResearch,reconheceramaLayer7como
ldernosmercadosdeGovernanadeSOAeGestodeAPIs.EntreosclientedaLayer7estomaisde
250organizaesdossetorespblicoeprivadodetodoomundo.Emjunhode2013,aLayer7foi
adquiridapelaCATechnologies.

EntreemcontatocomaLayer7
ALayer7agradecesuasperguntas,comentrioseopiniesemgeral.
Email:
info@layer7.com
Sitedaweb:
www.layer7.com
Telefone:
16046819377
18006819377(chamadagratuitaparaaAmricadoNorte)
Endereo:
Suite500885WGeorgiaStreetVancouverBCV6C3G1Canad

InformaesJurdicas
Copyright2014daLayer7,umaEmpresadaCATechnologies.Contedoconfidencial.Todososdireitos
reservados.

Copyright2014daLayer7,umaEmpresadaCATechnologies(www.layer7.com)

13