Ao passo em que cresce a necessidade de integrar plataformas para otimizar as operações das empresas, também surge a necessidade de proteger os seus aplicativos e credenciais de seus usuários, já que o uso de API de terceiros pode expor os seus dados à ação de agentes criminosos. Nesse sentido, a adoção do OAuth é fundamental para blindar o seu ambiente digital.
Conhecido como um recurso que autoriza o acesso limitado de aplicativos à conta de usuários dentro de um serviço de Protocolo de Transferência de Hipertexto (HTTP), ele tem o objetivo de preservar as credenciais e senhas utilizadas em suas plataformas. Neste post, vamos abordar o que é OAuth e como colocá-lo em prática. Confira!
O que é OAuth?
O termo OAuth vem de ‘’Open Authorization’’, que traduzido do inglês para o português significa ‘’Autorização Aberta’’. Trata-se de um padrão técnico utilizado para autorizar usuários.
De forma direta, esse protocolo passar a autorização de um serviço para o outro sem que haja o compartilhamento das credenciais de acesso do usuário, o que inclui o nome de usuário e senha. Assim, o usuário pode ingressar em uma plataforma e, posteriormente, obter autorização para realizar ações e visualizar dados em outra aplicação.
A autorização obtida inicialmente pode ser passada de um aplicativo para outro, independentemente dos tipos de aplicações utilizadas. Normalmente, esse processo é usado quando se quer passar a autorização de um serviço de login único (SSO) para aplicativos em nuvem. Porém, também pode ser usado em outras aplicações sem problemas.
O OAuth surgiu em 2010, trazendo mais segurança às operações digitais. Na atualidade, a versão mais recente é OAuth 2.0, lançada em 2012, que apresenta correções identificadas na primeira versão que deixam o serviço vulnerável.
Para que serve o OAuth?
No geral, o OAuth tem como função autorizar os usuários ou permitir o acesso parcial de uma plataforma para outra, quando se utiliza API Gateway, por exemplo. Além disso, essa situação também pode ocorrer quando é necessário autorizar um aplicativo a acessar outra conta do usuário — como acontece com o Google, que permite aos seus usuários se integrarem a outras plataformas.
Podemos afirmar que o OAuth cumpre o papel de promover um acesso seguro a recursos de terceiros. Embora já existam soluções de autenticação para combater o problema de insegurança, há outros riscos para os dados de uma empresa ao usar a integração de APIs. Alguns desses perigos são:
- as plataformas de terceiros podem armazenar as credenciais dos usuários para acessos futuros;
- os servidores dos aplicativos utilizados devem ser capazes de suportar a autenticação por senha;
- as aplicações que são usadas para acessar plataformas terceiras passam a acessar múltiplos recursos e dados.
Com base nisso, o OAuth se mostra como a melhor alternativa para o envio de informações de autorização entre aplicações, evitando que sistemas não autorizados acabem visualizando dados sigilosos e relevantes para o seu negócio.
Como funciona o OAuth?
OAuth está estruturado em quatro agentes. O primeiro deles é o usuário, que é descrito como o proprietário do recurso. A partir daí, o protocolo pode autorizar o acesso a uma ferramenta por uma aplicação chamada de Cliente.
Por sua vez, o Authorization Server (API) tem como finalidade promover a autenticação do Resource Owner (usuário), além de emitir a autorização de acesso em formato de OAuth token, que é conhecido como o token de acesso. Nesse cenário, o servidor de recursos atua como um servidor que armazena os recursos que necessitam de proteção.
Como colocar em prática?
Para solicitar a autorização que o aplicativo manda para as APIs utilizadas pela sua empresa, é necessário incluir token de autorização, cuja finalidade é identificar o usuário ou o aplicativo para, a partir daí, conceder acesso às APIs. Veja quais são os passos a serem adotados.
Acesse a API com o OAuth 2.0
Em primeiro lugar, é necessário configurar a sua plataforma e ativar as APIs que serão utilizadas pela empresa. Em seguida, vá até o Console de APIs e crie credenciais, selecionando o ‘’ID do cliente OAuth’’.
Depois, escolha o tipo de aplicativo e forneça as informações requisitadas. O próximo passo é clicar criar e depois salvar o projeto. Faça a atualização da página de consentimento do OAuth.
A partir daí, existe a possibilidade de atualizar desde o nome até o logo tipo da aplicação, bem como acrescentar um link que apresente os termos de serviço e política de privacidade a serem aceitos.
Incorpore o OAuth 2.0
Para incorporar o OAuth, você pode utilizar diferentes métodos, como bibliotecas de cliente, acesso off-line e acesso on-line. Para começar a execução das amostras de código, você pode instalar a biblioteca de cliente de acordo com a sua linguagem, por exemplo.
No caso de optar por usar a biblioteca de cliente, você pode usar as seguintes opções de linguagem: Java, Go, PHP, .NET, Ruby, Python e Node.js.
Os exemplos específicos de linguagem nesta página usam bibliotecas de cliente das APIs do Google para implementar a autorização do OAuth 2.0. Para executar as amostras de código, primeiro instale a biblioteca de cliente para sua linguagem.
Execute a amostra de código
A próxima etapa consiste em executar a amostra de código do OAuth. Para isso, salve o spippet de código dentro de um arquivo denominado ‘’index.html’’. Confira se o ID do cliente realmente foi definido com arquivo. Na sequência, inicie o servidor da web com o comando da sua escolha no diretório de trabalho da plataforma.
Para finalizar, é o momento de escolher o ID do cliente que será utilizado. No campo da origem das autorizações, é preciso inserir a URL do aplicativo que vai ser integrado e depois executar a amostra de código para finalizar.
Exemplo de aplicações
O protocolo OAuth pode ser implementado em diversas áreas, objetivando sempre a proteção das informações dos seus usuários e plataformas. Ao adotá-lo, a sua empresa pode até mesmo estabelecer a comunicações entre aplicações de segmentos que se diferem.
Esse recurso é frequentemente utilizado para conectar um aplicativo a perfis de redes sociais, por exemplo. Mas não para por aí, a sua aplicação também é comum no setor financeiro, para que os usuários possam acessar os dados de conciliação e meios de pagamento simultaneamente, com o intuito de integrar e facilitar as suas operações com segurança.
O acesso de um agente não autorizado aos recursos de sua aplicação pode causar sérias dores de cabeça, como a exposição de dados sigilosos e interferência no funcionamento do próprio aplicativo. Com a implementação do OAuth, você limita o acesso aos seus dados, reforçando a segurança de suas informações e recursos.
Quer aproveitar os benefícios de universo? Confira um Guia Completo sobre Data API!