PHP Experience 2016 - [Palestra] Autenticação em APIs

iMasters
iMastersjornalista, web editor, web writer, tradutora (en-pt/pt-en) at iMasters
Autenticação em APIs Marcelo Milhomem
Agenda
Agenda • HTTP REST API • Autenticação • SSL / Autoridade Certificadora / Certificados • Aplicação em Mobile
Autenticação x Autorização
401 vs 403 • 401 Unauthorised - Não autenticado Eu preciso saber quem você é • 403 Forbidden - Não autorizado Eu sei quem você é mas, você não tem direito
Autenticação hoje
HTTP Basic (Usuário e Senha) • Cleartext • Precisa de SSL • Fácil de "crackear" • Usuário preguiçoso (mesma senha / senha fraca) • Mesma senha em vários sistemas
OAuth (Autenticação + Autorização)
Token / JWT 1 { 2 "sub": "1234567890", 3 "name": "John Doe", 4 "admin": true 5 } 1 HMACSHA256( 2 base64UrlEncode(header) + "." + 3 base64UrlEncode(payload), 4 secret) 1 eyJhbGciOiJIUzI1NiIsInR 2 5cCI6IkpXVCJ9. 3 eyJzdWIiOiIxMjM0NTY3ODk 4 wIiwibmFtZSI6IkpvaG4gRG 5 9lIiwiYWRtaW4iOnRydWV9. 6 TJVA95OrM7E2cBab30RMHrH 7 DcEfxjoYZgeFONFh7HgQ
Todos usam SSL
Por que o SSL?
Certificados • Par de chaves assimétricas (Pública e Privada) • Oferece a mesma coisa que o SSL • Autentica o cliente através da assinatura digital • Requer um `round trip` extra
Autoridade Certificadora (CA) • Self signed (todo CA é) • CA intermediário (cadeias de CA) - boa prática para evitar perda total em caso de comprometimento da chave privada • Você é a autoridade :0 dona da verdade • Utilizar CA intermediários como ACL
Show Case
Ingredientes Keystore Certificado do Cliente Certificado do Servidor Keystore CA
Gerar certificado do cliente
Gerar certificado - PHP Gerando par de chaves do cliente 1 /** 2 * Chave privada 3 */ 4 $clientPrivateKey = new Crypt_RSA(); 5 $clientPrivateKey->setPassword($password); 6 $generatedKeyPair = $clientPrivateKey->createKey(); 7 $clientPrivateKey->loadKey($generatedKeyPair['privatekey']); 8 /** 9 * Chave pública 10 */ 11 $clientPublicKey = new Crypt_RSA(); 12 $clientPublicKey->loadKey($generatedKeyPair['publickey']); 13 $clientPublicKey->setPublicKey();
Gerar certificado - PHP Par de chaves do CA 1 /** 2 * Chave privada do CA necessária para assinar 3 */ 4 $privateKeyIntermediateCA = new Crypt_RSA(); 5 $privateKeyIntermediateCA->setPassword('Intermediate CA password'); 6 $privateKeyIntermediateCA->loadKey(file_get_contents($privateCAKeyPath)); 7 /** 8 * Certificado do CA 9 */ 10 $certificateIntermediateCA = new File_X509(); 11 $certificateIntermediateCA->setPrivateKey($privateKeyIntermediateCA); 12 $certificateIntermediateCA->loadX509(file_get_contents($certificateCAKeyPath));
Certificado do Cliente - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 7 $certificateX509 = new File_X509(); 8 $certificateX509->setEndDate('+1 month'); 9 /** 10 * Assinatura do CA 11 */ 12 $clientCertificate = 13 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest); 14 /** 15 * Resultado chave privada + certificado do cliente 16 */ 17 echo $clientPrivateKey->getPrivateKey(); 18 echo PHP_EOL; 19 echo $certificateX509->saveX509($clientCertificate);
Certificado do Cliente - Android 1 /** 2 * Certificado do cliente + chave privada empacotados em um arquivo PFX 3 */ 4 KeyStore keyStore = KeyStore.getInstance("PKCS12"); 5 FileInputStream clientCertificateContent = 6 new FileInputStream("/path/to/publicAndPrivateKey.p12"); 7 keyStore.load(clientCertificateContent, "private key password".toCharArray()); 8 KeyManagerFactory keyManagerFactory = 9 KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 10 keyManagerFactory.init(keyStore, "private key password".toCharArray());
Embarcar CA 1 -----BEGIN CERTIFICATE----- 2 MIIDnzCCAwigAwIBAgIJAJZTKp0w82kyMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYD 3 VQQGEwJCUjETMBEGA1UECBQKU8OjbyBQYXVsbzETMBEGA1UEBxQKU8OjbyBQYXVs 4 bzERMA8GA1UEChMIRWFzeVRheGkxETAPBgNVBAsTCEVhc3lUYXhpMQswCQYDVQQD 5 EwJFVDEmMCQGCSqGSIb3DQEJARYXY29udGF0b0BlYXN5dGF4aS5jb20uYnIwHhcN 6 MTYwMTE4MTYwNDQ2WhcNMzYwMTEzMTYwNDQ2WjCBkjELMAkGA1UEBhMCQlIxEzAR 7 BgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAPBgNVBAoT 8 CEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQxJjAkBgkq 9 hkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyMIGfMA0GCSqGSIb3DQEB 10 AQUAA4GNADCBiQKBgQDTny6B8fbG1UXEtMYYFKfODKduzYTovLIUzXKFrX9wHEsC 11 lTOLqtvKsvkLkjXsC3R/HedWoRbFXJbaaw723csPlxrxuBqfkNBJB25ihccwVWbP 12 WpEaDluL2btsBdW2uuDshpXk2z6Gf5xcePnmf24iWpvJs1uBJWkEGRR2TzEi8wID 13 AQABo4H6MIH3MB0GA1UdDgQWBBRMm/EjlWrvxXTtUmotq+kwN52u3zCBxwYDVR0j 14 BIG/MIG8gBRMm/EjlWrvxXTtUmotq+kwN52u36GBmKSBlTCBkjELMAkGA1UEBhMC 15 QlIxEzARBgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAP 16 BgNVBAoTCEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQx 17 JjAkBgkqhkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyggkAllMqnTDz 18 aTIwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOBgQAEcW5DO0ODdWd0kZzU 19 6eSg8ckDPImveTiKpFU5a96WxlVmwU8IlwAZ695w6ciIwDjys6BUNUBayTczhJbO 20 83Ykrt+b62+ksqKKFrCcba10R8QSjhYZSy7Yv08m/6+OiP+rUb2Jg4zVdAPhaaVn 21 lb1Nff1EgOdWIdjTKpPzHRjY4g== 22 -----END CERTIFICATE----- Autoridade Certificadora Aplicativo Mobile
Requisição OkHttp - Android 1 OkHttpClient client = new OkHttpClient(); 2 client.setSslSocketFactory(sslContext.getSocketFactory()); 3 client.newCall(new Request.Builder() 4 .url("https://easytaxi.com.br") 5 .build() 6 ).execute();
Adicionando Cabeçalhos 1 GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 Host: api.easytaxi.com.br 3 User-Agent: curl/7.43.0 4 X-SSL: 1 5 X-SSL-Client-Verify: 0 6 X-SSL-Client-SHA1: "a01b894d12579d88efce97d27107f380b05f5968" 7 X-SSL-Client-CN: "56edfd08756f458a6f0041ad" 8 X-SSL-Issuer: "/C=BR/OU=EasyTaxi/emailAddress=contato@easytaxi.com.br” 9 X-SSL-Client-Not-Before: "120101100030Z" 10 X-SSL-Client-Not-After: "160101100030Z" 11 Accept: */*
Use Cases
Validade • Todo certificado tem validade • Demonstração • Teste gratuito temporário • Revalidação de login
Grupos e Cadeias • Você pode criar vários CAs intermediários • Criar intermediário e assinar os usuários do grupo com ele • Revogar um intermediário e todos certificados abaixo dele • Intermediários também possuem validade
Integridade • Benefício da autenticação mútua (2WAY)
Assinatura digital • Não repúdio - Garantia da que o portador assinou • Assinar documentos digitalmente • Certificado digital
Offload
PHP Experience 2016 - [Palestra] Autenticação em APIs
PHP Experience 2016 - [Palestra] Autenticação em APIs
PHP Experience 2016 - [Palestra] Autenticação em APIs
Descentralizado • Servidores conseguem validar o certificado offline • Precisam apenas compartilhar as chaves do CA • Ideal para microserviços
Emissão on-demand • Emissão de certificados dinamicamente • Let’s Encrypt faz isso para certificado de servidores • Crie sua PKI para emitir certificados para clientes
Autorização Simples - 403 1 #GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 $uri = current(explode('?', getenv('REQUEST_URI'))); 3 preg_match('#[a-zA-Z0-9-]+(/)?$#', $uri, $matches); 4 $passengerId = $matches[0]; 5 if ($request->headers->get('X-SSL-Client-CN') != $passengerId) { 6 return new Response('Forbidden', 403); 7 }
Gerar certificado - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setDNProp('uniqueidentifier', 'my unique ID'); 7 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 8 $certificateX509 = new File_X509(); 9 $certificateX509->setEndDate('+1 month'); 10 /** 11 * Assinatura do CA 12 */ 13 $clientCertificate = 14 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest);
Por que ninguém ta usando isso?
Perguntas? Vamos manter contato! https://legacy.joind.in/17491 https://gist.github.com/milhomem
1 of 38

PHP Experience 2016 - [Palestra] Autenticação em APIs

Download to read offline
Education

Marcelo Milhomem, Technical Lead no Easy Taxi, fez a palestra "Autenticação em APIs", no PHP Experience 2016. O iMasters PHP Experience 2016 aconteceu nos dias 21 e 22 de Março de 2015, no Hotel Tivoli em São Paulo-SP http://phpexperience2016.imasters.com.br/

iMasters
iMastersjornalista, web editor, web writer, tradutora (en-pt/pt-en) at iMasters

Recommended

TDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e Elasticsearch by
TDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e ElasticsearchTDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e Elasticsearch
TDC2016POA | Trilha PHP - Desenvolvendo um buscador com PHP e Elasticsearchtdc-globalcode
629 views70 slides
Autenticacao em APIs com SSL by
Autenticacao em APIs com SSLAutenticacao em APIs com SSL
Autenticacao em APIs com SSLMarcelo Milhomem
630 views38 slides
Escrevendo códigos php seguros by
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php segurosDouglas V. Pasqua
1.6K views90 slides
Segurança Web com PHP5 by
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5Douglas V. Pasqua
1.9K views47 slides
JWT - Json Web Token by
JWT - Json Web TokenJWT - Json Web Token
JWT - Json Web TokenMario Mendonça
504 views19 slides
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados by
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosSegurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosLuis Cipriani
4.1K views38 slides

More Related Content

What's hot

Proteja sua aplicação com o zend framework 2 by
Proteja sua aplicação com o zend framework 2Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2Cyrille Grandval
1.1K views41 slides
Bypass de token csrf na pratica secure brasil by
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilWilliam Costa
1.7K views51 slides
Mongo + php by
Mongo + phpMongo + php
Mongo + phpJosé Agripino Duarte da Silva
1.6K views27 slides
Segurança & Ruby on Rails by
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on RailsJulio Monteiro
1.5K views96 slides
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. by
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Clavis Segurança da Informação
1.4K views47 slides
Como o elasticsearch salvou minhas buscas by
Como o elasticsearch salvou minhas buscasComo o elasticsearch salvou minhas buscas
Como o elasticsearch salvou minhas buscasWaldemar Neto
1.7K views45 slides

What's hot(20)

Proteja sua aplicação com o zend framework 2 by Cyrille Grandval
Proteja sua aplicação com o zend framework 2Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2
Cyrille Grandval1.1K views
Bypass de token csrf na pratica secure brasil by William Costa
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasil
William Costa1.7K views
Mongo + php by José Agripino Duarte da Silva
Mongo + phpMongo + php
Mongo + php
José Agripino Duarte da Silva1.6K views
Segurança & Ruby on Rails by Julio Monteiro
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on Rails
Julio Monteiro1.5K views
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. by Clavis Segurança da Informação
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Clavis Segurança da Informação1.4K views
Como o elasticsearch salvou minhas buscas by Waldemar Neto
Como o elasticsearch salvou minhas buscasComo o elasticsearch salvou minhas buscas
Como o elasticsearch salvou minhas buscas
Waldemar Neto1.7K views
How to use Elasticsearch Analyzers by EmergiNet by EmergiNet
How to use Elasticsearch Analyzers by EmergiNetHow to use Elasticsearch Analyzers by EmergiNet
How to use Elasticsearch Analyzers by EmergiNet
EmergiNet5.1K views
Mecanismo de Busca com Node.js + MongoDB by Luiz Duarte
Mecanismo de Busca com Node.js + MongoDBMecanismo de Busca com Node.js + MongoDB
Mecanismo de Busca com Node.js + MongoDB
Luiz Duarte17.8K views
"Hacking+PHP" by Erick Belluci Tedeschi
"Hacking+PHP""Hacking+PHP"
"Hacking+PHP"
Erick Belluci Tedeschi1.6K views
Android chat app com Node.js by Luiz Duarte
Android chat app com Node.jsAndroid chat app com Node.js
Android chat app com Node.js
Luiz Duarte30.6K views
Workshop Node.js + MongoDB + Mongoose by Luiz Duarte
Workshop Node.js + MongoDB + MongooseWorkshop Node.js + MongoDB + Mongoose
Workshop Node.js + MongoDB + Mongoose
Luiz Duarte45.4K views
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut ) by João Moura
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
WebSocket com Node.js ( socketstream && coffeescript ) X RoR ( Juggernaut )
João Moura941 views
Treinamento Elasticsearch - Parte 1 by Luiz Henrique Zambom Santana
Treinamento Elasticsearch - Parte 1Treinamento Elasticsearch - Parte 1
Treinamento Elasticsearch - Parte 1
Luiz Henrique Zambom Santana2.7K views
Tony\'s Top 10 Computer Forensics Artifacts by tonyrodrigues
Tony\'s Top 10 Computer Forensics ArtifactsTony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics Artifacts
tonyrodrigues425 views
PHP robusto com Zend Framework by Jaime Neto
PHP robusto com Zend FrameworkPHP robusto com Zend Framework
PHP robusto com Zend Framework
Jaime Neto2.1K views
Curso mongo db com php by Suissa
Curso mongo db com phpCurso mongo db com php
Curso mongo db com php
Suissa4.9K views
A vida além do jQuery by Paulo Pires
A vida além do jQueryA vida além do jQuery
A vida além do jQuery
Paulo Pires464 views
Realtime com node.js e socket.io by Caio Ribeiro Pereira
Realtime com node.js e socket.ioRealtime com node.js e socket.io
Realtime com node.js e socket.io
Caio Ribeiro Pereira5.7K views
BigData - ElasticSearch + PHP by Felipe Weckx
BigData - ElasticSearch + PHPBigData - ElasticSearch + PHP
BigData - ElasticSearch + PHP
Felipe Weckx1.4K views
Xss injection indo alem do alert.v 0.4 by William Costa
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
William Costa663 views

Viewers also liked

PHP Experience 2016 - [Palestra] Keynote: PHP-7 by
PHP Experience 2016 - [Palestra] Keynote: PHP-7PHP Experience 2016 - [Palestra] Keynote: PHP-7
PHP Experience 2016 - [Palestra] Keynote: PHP-7iMasters
1.1K views49 slides
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS by
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWSPHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWSiMasters
951 views49 slides
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL by
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSLPHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSLiMasters
1K views80 slides
Waw - Gas by
Waw - GasWaw - Gas
Waw - Gasimpactaeventos
466 views41 slides
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações by
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integraçõesPHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integraçõesiMasters
1.2K views126 slides
PHP Experience 2016 - [Palestra] Json Web Token (JWT) by
PHP Experience 2016 - [Palestra] Json Web Token (JWT)PHP Experience 2016 - [Palestra] Json Web Token (JWT)
PHP Experience 2016 - [Palestra] Json Web Token (JWT)iMasters
2.1K views33 slides

Viewers also liked(10)

PHP Experience 2016 - [Palestra] Keynote: PHP-7 by iMasters
PHP Experience 2016 - [Palestra] Keynote: PHP-7PHP Experience 2016 - [Palestra] Keynote: PHP-7
PHP Experience 2016 - [Palestra] Keynote: PHP-7
iMasters1.1K views
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS by iMasters
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWSPHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS
PHP Experience 2016 - [Workshop] Deploy escalável na Amazon AWS
iMasters951 views
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL by iMasters
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSLPHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL
PHP Experience 2016 - [Palestra] Melhorando a comunicação da API através de DSL
iMasters1K views
Waw - Gas by impactaeventos
Waw - GasWaw - Gas
Waw - Gas
impactaeventos466 views
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações by iMasters
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integraçõesPHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
PHP Experience 2016 - [Workshop] APIs bem desenhadas como base para integrações
iMasters1.2K views
PHP Experience 2016 - [Palestra] Json Web Token (JWT) by iMasters
PHP Experience 2016 - [Palestra] Json Web Token (JWT)PHP Experience 2016 - [Palestra] Json Web Token (JWT)
PHP Experience 2016 - [Palestra] Json Web Token (JWT)
iMasters2.1K views
PHP Experience 2016 - [Workshop] Agile: Test Driven Development by iMasters
PHP Experience 2016 - [Workshop] Agile: Test Driven DevelopmentPHP Experience 2016 - [Workshop] Agile: Test Driven Development
PHP Experience 2016 - [Workshop] Agile: Test Driven Development
iMasters1K views
PHP Experience 2016 - [Palestra] Rumo à Certificação PHP by iMasters
PHP Experience 2016 - [Palestra] Rumo à Certificação PHPPHP Experience 2016 - [Palestra] Rumo à Certificação PHP
PHP Experience 2016 - [Palestra] Rumo à Certificação PHP
iMasters1.1K views
PHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHP by iMasters
PHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHPPHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHP
PHP Experience 2016 - [Workshop] Elastic Search: Turbinando sua aplicação PHP
iMasters1.3K views
What I learnt: Elastic search & Kibana : introduction, installtion & configur... by Rahul K Chauhan
What I learnt: Elastic search & Kibana : introduction, installtion & configur...What I learnt: Elastic search & Kibana : introduction, installtion & configur...
What I learnt: Elastic search & Kibana : introduction, installtion & configur...
Rahul K Chauhan1.1K views

Similar to PHP Experience 2016 - [Palestra] Autenticação em APIs

GUJavaSC - Protegendo Microservices em Java by
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaRodrigo Cândido da Silva
379 views29 slides
Certificados Digitais by
Certificados DigitaisCertificados Digitais
Certificados DigitaisHumberto Bruno Pontes Silva
823 views24 slides
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2 by
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
1.4K views35 slides
TDC 2015 - Segurança em Recursos RESTful com OAuth2 by
TDC 2015 - Segurança em Recursos RESTful com OAuth2TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2Rodrigo Cândido da Silva
3.3K views35 slides
Manipulando JWT em apis Laravel by
Manipulando JWT em apis LaravelManipulando JWT em apis Laravel
Manipulando JWT em apis LaravelEduardo Cesar
3.5K views54 slides
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme... by
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...Deep Tech Brasil
39 views93 slides

Similar to PHP Experience 2016 - [Palestra] Autenticação em APIs(20)

GUJavaSC - Protegendo Microservices em Java by Rodrigo Cândido da Silva
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
Rodrigo Cândido da Silva379 views
Certificados Digitais by Humberto Bruno Pontes Silva
Certificados DigitaisCertificados Digitais
Certificados Digitais
Humberto Bruno Pontes Silva823 views
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2 by Rodrigo Cândido da Silva
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
JavaOne LATAM 2015 - Segurança em Recursos RESTful com OAuth2
Rodrigo Cândido da Silva1.4K views
TDC 2015 - Segurança em Recursos RESTful com OAuth2 by Rodrigo Cândido da Silva
TDC 2015 - Segurança em Recursos RESTful com OAuth2TDC 2015 - Segurança em Recursos RESTful com OAuth2
TDC 2015 - Segurança em Recursos RESTful com OAuth2
Rodrigo Cândido da Silva3.3K views
Manipulando JWT em apis Laravel by Eduardo Cesar
Manipulando JWT em apis LaravelManipulando JWT em apis Laravel
Manipulando JWT em apis Laravel
Eduardo Cesar3.5K views
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme... by Deep Tech Brasil
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...
[DTC21] Rodrigo Branas - Segurança na Web: Será que o seu sistema está realme...
Deep Tech Brasil39 views
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação... by Jeronimo Zucco
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco3.7K views
Desenvolvimento seguro - WorkSec 2019 by Alcyon Ferreira de Souza Junior, MSc
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc555 views
Minicurso de Segurança em Java EE 7 by Helder da Rocha
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7
Helder da Rocha733 views
Testando a integração com APIs - RSonRails/11 by Rafael Souza
Testando a integração com APIs - RSonRails/11Testando a integração com APIs - RSonRails/11
Testando a integração com APIs - RSonRails/11
Rafael Souza881 views
Mule pe salesforce mule security by Jeison Barros
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
Jeison Barros196 views
API de segurança do Java EE 8 by Helder da Rocha
API de segurança do Java EE 8API de segurança do Java EE 8
API de segurança do Java EE 8
Helder da Rocha1.6K views
A Biblioteca cURL by ricardophp
A Biblioteca cURLA Biblioteca cURL
A Biblioteca cURL
ricardophp1.7K views
Joomla!, SSL e um pouco sobre segurança by Fernando Soares
Joomla!, SSL e um pouco sobre segurançaJoomla!, SSL e um pouco sobre segurança
Joomla!, SSL e um pouco sobre segurança
Fernando Soares1.6K views
Configurando servidor web https no apache2 ed by Carlos Melo
Configurando servidor web https no apache2 edConfigurando servidor web https no apache2 ed
Configurando servidor web https no apache2 ed
Carlos Melo1.4K views
Zabbix e KACE, uma boa ideia, e porque não! by Fabio Vieira Mello
Zabbix e KACE, uma boa ideia, e porque não!Zabbix e KACE, uma boa ideia, e porque não!
Zabbix e KACE, uma boa ideia, e porque não!
Fabio Vieira Mello242 views
TDC2017 | São Paulo - Trilha Microservices Coaching I How we figured out we h... by tdc-globalcode
TDC2017 | São Paulo - Trilha Microservices Coaching I How we figured out we h...TDC2017 | São Paulo - Trilha Microservices Coaching I How we figured out we h...
TDC2017 | São Paulo - Trilha Microservices Coaching I How we figured out we h...
tdc-globalcode539 views
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph... by Mauro Risonho de Paula Assumpcao
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
OWASP AppSec 2010 BRAZIL Information Extraction Art of Testing Network Periph...
Mauro Risonho de Paula Assumpcao5.8K views
Segurança em Angular SPA by Fernando Piancastelli
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
Fernando Piancastelli998 views
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon... by Alcyon Ferreira de Souza Junior, MSc
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc1.2K views

More from iMasters

O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro by
O que você precisa saber para modelar bancos de dados NoSQL - Dani MonteiroO que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro
O que você precisa saber para modelar bancos de dados NoSQL - Dani MonteiroiMasters
1.4K views40 slides
Postgres: wanted, beloved or dreaded? - Fabio Telles by
Postgres: wanted, beloved or dreaded? - Fabio TellesPostgres: wanted, beloved or dreaded? - Fabio Telles
Postgres: wanted, beloved or dreaded? - Fabio TellesiMasters
603 views51 slides
Por que minha query esta lenta? - Suellen Moraes by
Por que minha query esta lenta? - Suellen MoraesPor que minha query esta lenta? - Suellen Moraes
Por que minha query esta lenta? - Suellen MoraesiMasters
370 views12 slides
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig... by
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...iMasters
298 views9 slides
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves by
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalvesORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalvesiMasters
324 views31 slides
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -... by
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...iMasters
1.7K views52 slides

More from iMasters(20)

O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro by iMasters
O que você precisa saber para modelar bancos de dados NoSQL - Dani MonteiroO que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro
O que você precisa saber para modelar bancos de dados NoSQL - Dani Monteiro
iMasters1.4K views
Postgres: wanted, beloved or dreaded? - Fabio Telles by iMasters
Postgres: wanted, beloved or dreaded? - Fabio TellesPostgres: wanted, beloved or dreaded? - Fabio Telles
Postgres: wanted, beloved or dreaded? - Fabio Telles
iMasters603 views
Por que minha query esta lenta? - Suellen Moraes by iMasters
Por que minha query esta lenta? - Suellen MoraesPor que minha query esta lenta? - Suellen Moraes
Por que minha query esta lenta? - Suellen Moraes
iMasters370 views
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig... by iMasters
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...
Relato das trincheiras: o dia a dia de uma consultoria de banco de dados - Ig...
iMasters298 views
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves by iMasters
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalvesORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves
ORMs heróis ou vilões dentro da arquitetura de dados? - Otávio gonçalves
iMasters324 views
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -... by iMasters
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...
SQL e NoSQL trabalhando juntos: uma comparação para obter o melhor de ambos -...
iMasters1.7K views
Arquitetando seus dados na prática para a LGPD - Alessandra Martins by iMasters
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
iMasters3.3K views
O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil... by iMasters
O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...
O papel do DBA no mundo de ciência de dados e machine learning - Mauro Pichil...
iMasters287 views
Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud by iMasters
Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana ChahoudDesenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud
Desenvolvimento Mobile Híbrido, Nativo ou Web: Quando usá-los - Juliana Chahoud
iMasters950 views
Use MDD e faça as máquinas trabalharem para você - Andreza Leite by iMasters
Use MDD e faça as máquinas trabalharem para você - Andreza Leite Use MDD e faça as máquinas trabalharem para você - Andreza Leite
Use MDD e faça as máquinas trabalharem para você - Andreza Leite
iMasters682 views
Entendendo os porquês do seu servidor - Talita Bernardes by iMasters
Entendendo os porquês do seu servidor - Talita BernardesEntendendo os porquês do seu servidor - Talita Bernardes
Entendendo os porquês do seu servidor - Talita Bernardes
iMasters544 views
Backend performático além do "coloca mais máquina lá" - Diana Arnos by iMasters
Backend performático além do "coloca mais máquina lá" - Diana ArnosBackend performático além do "coloca mais máquina lá" - Diana Arnos
Backend performático além do "coloca mais máquina lá" - Diana Arnos
iMasters477 views
Dicas para uma maior performance em APIs REST - Renato Groffe by iMasters
Dicas para uma maior performance em APIs REST - Renato GroffeDicas para uma maior performance em APIs REST - Renato Groffe
Dicas para uma maior performance em APIs REST - Renato Groffe
iMasters595 views
7 dicas de desempenho que equivalem por 21 - Danielle Monteiro by iMasters
7 dicas de desempenho que equivalem por 21 - Danielle Monteiro7 dicas de desempenho que equivalem por 21 - Danielle Monteiro
7 dicas de desempenho que equivalem por 21 - Danielle Monteiro
iMasters475 views
Quem se importa com acessibilidade Web? - Mauricio Maujor by iMasters
Quem se importa com acessibilidade Web? - Mauricio MaujorQuem se importa com acessibilidade Web? - Mauricio Maujor
Quem se importa com acessibilidade Web? - Mauricio Maujor
iMasters480 views
Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva by iMasters
Service Mesh com Istio e Kubernetes - Wellington Figueira da SilvaService Mesh com Istio e Kubernetes - Wellington Figueira da Silva
Service Mesh com Istio e Kubernetes - Wellington Figueira da Silva
iMasters604 views
Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti by iMasters
Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto PascuttiErros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti
Erros: Como eles vivem, se alimentam e se reproduzem? - Augusto Pascutti
iMasters559 views
Elasticidade e engenharia de banco de dados para alta performance - Rubens G... by iMasters
Elasticidade e engenharia de banco de dados para alta performance - Rubens G...Elasticidade e engenharia de banco de dados para alta performance - Rubens G...
Elasticidade e engenharia de banco de dados para alta performance - Rubens G...
iMasters569 views
Construindo aplicações mais confiantes - Carolina Karklis by iMasters
Construindo aplicações mais confiantes - Carolina KarklisConstruindo aplicações mais confiantes - Carolina Karklis
Construindo aplicações mais confiantes - Carolina Karklis
iMasters477 views
Monitoramento de Aplicações - Felipe Regalgo by iMasters
Monitoramento de Aplicações - Felipe RegalgoMonitoramento de Aplicações - Felipe Regalgo
Monitoramento de Aplicações - Felipe Regalgo
iMasters709 views

Recently uploaded

4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ... by
4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...
4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...azulassessoriaacadem3
97 views4 slides
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdf by
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdfFESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdf
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdfColégio Santa Teresinha
243 views11 slides
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres... by
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...azulassessoriaacadem3
41 views2 slides
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr... by
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...azulassessoriaacadem3
284 views4 slides
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras... by
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...azulassessoriaacadem3
34 views2 slides
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi... by
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...HelpEducacional
68 views3 slides

Recently uploaded(20)

4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ... by azulassessoriaacadem3
4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...
4- Sobre o paciente do caso 2, EXPLIQUE quais os mecanismos fisiológicos da ...
azulassessoriaacadem397 views
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdf by Colégio Santa Teresinha
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdfFESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdf
FESTEJAR O PÃO-POR-DEUS NO LAR VALE FORMOSO.pdf
Colégio Santa Teresinha243 views
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres... by azulassessoriaacadem3
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...
azulassessoriaacadem341 views
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr... by azulassessoriaacadem3
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...
6- Sabendo que o caso do paciente 3 está sendo causado por uma condução elétr...
azulassessoriaacadem3284 views
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras... by azulassessoriaacadem3
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...
3. Os vídeos “Filha de pais surdos dá lição de amor” e “Cadela aprende libras...
azulassessoriaacadem334 views
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi... by HelpEducacional
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...
1) Descreva como os AINEs não seletivos exercem seu mecanismo de ação, reduzi...
HelpEducacional68 views
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante... by HelpEducacional
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...
HelpEducacional83 views
B. Orientações para as mamães que tem bebês com mais de 7 meses de idade e qu... by azulassessoriaacadem3
B. Orientações para as mamães que tem bebês com mais de 7 meses de idade e qu...B. Orientações para as mamães que tem bebês com mais de 7 meses de idade e qu...
B. Orientações para as mamães que tem bebês com mais de 7 meses de idade e qu...
azulassessoriaacadem367 views
MAPA - PED - PROBLEMAS E DIFICULDADES DE APRENDIZAGEM NA INFÂNCIA - 54/2023 ... by assessoriaff08
MAPA - PED - PROBLEMAS E DIFICULDADES DE APRENDIZAGEM NA INFÂNCIA - 54/2023 ...MAPA - PED - PROBLEMAS E DIFICULDADES DE APRENDIZAGEM NA INFÂNCIA - 54/2023 ...
MAPA - PED - PROBLEMAS E DIFICULDADES DE APRENDIZAGEM NA INFÂNCIA - 54/2023 ...
assessoriaff0822 views
2 - Você estudou as principais teorias pedagógicas para prática de educação. ... by azulassessoriaacadem3
2 - Você estudou as principais teorias pedagógicas para prática de educação. ...2 - Você estudou as principais teorias pedagógicas para prática de educação. ...
2 - Você estudou as principais teorias pedagógicas para prática de educação. ...
azulassessoriaacadem3140 views
ATIVIDADE PROPOSTA Considerando o exposto acima, elabore um texto dissertat... by azulassessoriaacadem3
ATIVIDADE PROPOSTA Considerando o exposto acima, elabore um texto dissertat...ATIVIDADE PROPOSTA Considerando o exposto acima, elabore um texto dissertat...
ATIVIDADE PROPOSTA Considerando o exposto acima, elabore um texto dissertat...
azulassessoriaacadem330 views
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres... by azulassessoriaacadem3
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...
4. No vídeo “Cadela aprende libras para entender comando dos donos” foi apres...
azulassessoriaacadem338 views
Ao refletir sobre a importância da idealização de práticas inovadoras na Educ... by azulassessoriaacadem3
Ao refletir sobre a importância da idealização de práticas inovadoras na Educ...Ao refletir sobre a importância da idealização de práticas inovadoras na Educ...
Ao refletir sobre a importância da idealização de práticas inovadoras na Educ...
azulassessoriaacadem353 views
3) Os AINEs são classificados de acordo com sua composição química. A esse re... by HelpEducacional
3) Os AINEs são classificados de acordo com sua composição química. A esse re...3) Os AINEs são classificados de acordo com sua composição química. A esse re...
3) Os AINEs são classificados de acordo com sua composição química. A esse re...
HelpEducacional132 views
Você foi convidado a ser o Nutricionista integrante de uma equipe que vai des... by azulassessoriaacadem3
Você foi convidado a ser o Nutricionista integrante de uma equipe que vai des...Você foi convidado a ser o Nutricionista integrante de uma equipe que vai des...
Você foi convidado a ser o Nutricionista integrante de uma equipe que vai des...
azulassessoriaacadem353 views
a) Elenque de forma sucinta as dificuldades apresentadas no relato do caso e ... by azulassessoriaacadem3
a) Elenque de forma sucinta as dificuldades apresentadas no relato do caso e ...a) Elenque de forma sucinta as dificuldades apresentadas no relato do caso e ...
a) Elenque de forma sucinta as dificuldades apresentadas no relato do caso e ...
azulassessoriaacadem3236 views
4) Explique a diferença dos coxibes em relação aos AINEs convencionais, consi... by HelpEducacional
4) Explique a diferença dos coxibes em relação aos AINEs convencionais, consi...4) Explique a diferença dos coxibes em relação aos AINEs convencionais, consi...
4) Explique a diferença dos coxibes em relação aos AINEs convencionais, consi...
HelpEducacional62 views
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante... by HelpEducacional
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...
b) Explique os componentes das valvas cardíacas e o seu funcionamento durante...
HelpEducacional49 views
b) Caso n. 02: Considerando o disposto na NBC PG 01 – Código de Ética Profiss... by azulassessoriaacadem3
b) Caso n. 02: Considerando o disposto na NBC PG 01 – Código de Ética Profiss...b) Caso n. 02: Considerando o disposto na NBC PG 01 – Código de Ética Profiss...
b) Caso n. 02: Considerando o disposto na NBC PG 01 – Código de Ética Profiss...
azulassessoriaacadem346 views
2- Dos valores de pressão arterial apresentados pelo paciente, qual é a SÍSTO... by azulassessoriaacadem3
2- Dos valores de pressão arterial apresentados pelo paciente, qual é a SÍSTO...2- Dos valores de pressão arterial apresentados pelo paciente, qual é a SÍSTO...
2- Dos valores de pressão arterial apresentados pelo paciente, qual é a SÍSTO...
azulassessoriaacadem340 views

PHP Experience 2016 - [Palestra] Autenticação em APIs

  • 3. Agenda • HTTP REST API • Autenticação • SSL / Autoridade Certificadora / Certificados • Aplicação em Mobile
  • 5. 401 vs 403 • 401 Unauthorised - Não autenticado Eu preciso saber quem você é • 403 Forbidden - Não autorizado Eu sei quem você é mas, você não tem direito
  • 7. HTTP Basic (Usuário e Senha) • Cleartext • Precisa de SSL • Fácil de "crackear" • Usuário preguiçoso (mesma senha / senha fraca) • Mesma senha em vários sistemas
  • 9. Token / JWT 1 { 2 "sub": "1234567890", 3 "name": "John Doe", 4 "admin": true 5 } 1 HMACSHA256( 2 base64UrlEncode(header) + "." + 3 base64UrlEncode(payload), 4 secret) 1 eyJhbGciOiJIUzI1NiIsInR 2 5cCI6IkpXVCJ9. 3 eyJzdWIiOiIxMjM0NTY3ODk 4 wIiwibmFtZSI6IkpvaG4gRG 5 9lIiwiYWRtaW4iOnRydWV9. 6 TJVA95OrM7E2cBab30RMHrH 7 DcEfxjoYZgeFONFh7HgQ
  • 11. Por que o SSL?
  • 12. Certificados • Par de chaves assimétricas (Pública e Privada) • Oferece a mesma coisa que o SSL • Autentica o cliente através da assinatura digital • Requer um `round trip` extra
  • 13. Autoridade Certificadora (CA) • Self signed (todo CA é) • CA intermediário (cadeias de CA) - boa prática para evitar perda total em caso de comprometimento da chave privada • Você é a autoridade :0 dona da verdade • Utilizar CA intermediários como ACL
  • 15. Ingredientes Keystore Certificado do Cliente Certificado do Servidor Keystore CA
  • 17. Gerar certificado - PHP Gerando par de chaves do cliente 1 /** 2 * Chave privada 3 */ 4 $clientPrivateKey = new Crypt_RSA(); 5 $clientPrivateKey->setPassword($password); 6 $generatedKeyPair = $clientPrivateKey->createKey(); 7 $clientPrivateKey->loadKey($generatedKeyPair['privatekey']); 8 /** 9 * Chave pública 10 */ 11 $clientPublicKey = new Crypt_RSA(); 12 $clientPublicKey->loadKey($generatedKeyPair['publickey']); 13 $clientPublicKey->setPublicKey();
  • 18. Gerar certificado - PHP Par de chaves do CA 1 /** 2 * Chave privada do CA necessária para assinar 3 */ 4 $privateKeyIntermediateCA = new Crypt_RSA(); 5 $privateKeyIntermediateCA->setPassword('Intermediate CA password'); 6 $privateKeyIntermediateCA->loadKey(file_get_contents($privateCAKeyPath)); 7 /** 8 * Certificado do CA 9 */ 10 $certificateIntermediateCA = new File_X509(); 11 $certificateIntermediateCA->setPrivateKey($privateKeyIntermediateCA); 12 $certificateIntermediateCA->loadX509(file_get_contents($certificateCAKeyPath));
  • 19. Certificado do Cliente - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 7 $certificateX509 = new File_X509(); 8 $certificateX509->setEndDate('+1 month'); 9 /** 10 * Assinatura do CA 11 */ 12 $clientCertificate = 13 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest); 14 /** 15 * Resultado chave privada + certificado do cliente 16 */ 17 echo $clientPrivateKey->getPrivateKey(); 18 echo PHP_EOL; 19 echo $certificateX509->saveX509($clientCertificate);
  • 20. Certificado do Cliente - Android 1 /** 2 * Certificado do cliente + chave privada empacotados em um arquivo PFX 3 */ 4 KeyStore keyStore = KeyStore.getInstance("PKCS12"); 5 FileInputStream clientCertificateContent = 6 new FileInputStream("/path/to/publicAndPrivateKey.p12"); 7 keyStore.load(clientCertificateContent, "private key password".toCharArray()); 8 KeyManagerFactory keyManagerFactory = 9 KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm()); 10 keyManagerFactory.init(keyStore, "private key password".toCharArray());
  • 21. Embarcar CA 1 -----BEGIN CERTIFICATE----- 2 MIIDnzCCAwigAwIBAgIJAJZTKp0w82kyMA0GCSqGSIb3DQEBCwUAMIGSMQswCQYD 3 VQQGEwJCUjETMBEGA1UECBQKU8OjbyBQYXVsbzETMBEGA1UEBxQKU8OjbyBQYXVs 4 bzERMA8GA1UEChMIRWFzeVRheGkxETAPBgNVBAsTCEVhc3lUYXhpMQswCQYDVQQD 5 EwJFVDEmMCQGCSqGSIb3DQEJARYXY29udGF0b0BlYXN5dGF4aS5jb20uYnIwHhcN 6 MTYwMTE4MTYwNDQ2WhcNMzYwMTEzMTYwNDQ2WjCBkjELMAkGA1UEBhMCQlIxEzAR 7 BgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAPBgNVBAoT 8 CEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQxJjAkBgkq 9 hkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyMIGfMA0GCSqGSIb3DQEB 10 AQUAA4GNADCBiQKBgQDTny6B8fbG1UXEtMYYFKfODKduzYTovLIUzXKFrX9wHEsC 11 lTOLqtvKsvkLkjXsC3R/HedWoRbFXJbaaw723csPlxrxuBqfkNBJB25ihccwVWbP 12 WpEaDluL2btsBdW2uuDshpXk2z6Gf5xcePnmf24iWpvJs1uBJWkEGRR2TzEi8wID 13 AQABo4H6MIH3MB0GA1UdDgQWBBRMm/EjlWrvxXTtUmotq+kwN52u3zCBxwYDVR0j 14 BIG/MIG8gBRMm/EjlWrvxXTtUmotq+kwN52u36GBmKSBlTCBkjELMAkGA1UEBhMC 15 QlIxEzARBgNVBAgUClPDo28gUGF1bG8xEzARBgNVBAcUClPDo28gUGF1bG8xETAP 16 BgNVBAoTCEVhc3lUYXhpMREwDwYDVQQLEwhFYXN5VGF4aTELMAkGA1UEAxMCRVQx 17 JjAkBgkqhkiG9w0BCQEWF2NvbnRhdG9AZWFzeXRheGkuY29tLmJyggkAllMqnTDz 18 aTIwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOBgQAEcW5DO0ODdWd0kZzU 19 6eSg8ckDPImveTiKpFU5a96WxlVmwU8IlwAZ695w6ciIwDjys6BUNUBayTczhJbO 20 83Ykrt+b62+ksqKKFrCcba10R8QSjhYZSy7Yv08m/6+OiP+rUb2Jg4zVdAPhaaVn 21 lb1Nff1EgOdWIdjTKpPzHRjY4g== 22 -----END CERTIFICATE----- Autoridade Certificadora Aplicativo Mobile
  • 22. Requisição OkHttp - Android 1 OkHttpClient client = new OkHttpClient(); 2 client.setSslSocketFactory(sslContext.getSocketFactory()); 3 client.newCall(new Request.Builder() 4 .url("https://easytaxi.com.br") 5 .build() 6 ).execute();
  • 23. Adicionando Cabeçalhos 1 GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 Host: api.easytaxi.com.br 3 User-Agent: curl/7.43.0 4 X-SSL: 1 5 X-SSL-Client-Verify: 0 6 X-SSL-Client-SHA1: "a01b894d12579d88efce97d27107f380b05f5968" 7 X-SSL-Client-CN: "56edfd08756f458a6f0041ad" 8 X-SSL-Issuer: "/C=BR/OU=EasyTaxi/emailAddress=contato@easytaxi.com.br” 9 X-SSL-Client-Not-Before: "120101100030Z" 10 X-SSL-Client-Not-After: "160101100030Z" 11 Accept: */*
  • 25. Validade • Todo certificado tem validade • Demonstração • Teste gratuito temporário • Revalidação de login
  • 26. Grupos e Cadeias • Você pode criar vários CAs intermediários • Criar intermediário e assinar os usuários do grupo com ele • Revogar um intermediário e todos certificados abaixo dele • Intermediários também possuem validade
  • 27. Integridade • Benefício da autenticação mútua (2WAY)
  • 28. Assinatura digital • Não repúdio - Garantia da que o portador assinou • Assinar documentos digitalmente • Certificado digital
  • 33. Descentralizado • Servidores conseguem validar o certificado offline • Precisam apenas compartilhar as chaves do CA • Ideal para microserviços
  • 34. Emissão on-demand • Emissão de certificados dinamicamente • Let’s Encrypt faz isso para certificado de servidores • Crie sua PKI para emitir certificados para clientes
  • 35. Autorização Simples - 403 1 #GET /passenger/56edfd08756f458a6f0041ad HTTP/1.1 2 $uri = current(explode('?', getenv('REQUEST_URI'))); 3 preg_match('#[a-zA-Z0-9-]+(/)?$#', $uri, $matches); 4 $passengerId = $matches[0]; 5 if ($request->headers->get('X-SSL-Client-CN') != $passengerId) { 6 return new Response('Forbidden', 403); 7 }
  • 36. Gerar certificado - PHPAssinando o certificado 1 /** 2 * CSR - Requisição de certificado 3 */ 4 $certificateSigningRequest = new File_X509(); 5 $certificateSigningRequest->setDN($certificateIntermediateCA->getDN()); 6 $certificateSigningRequest->setDNProp('uniqueidentifier', 'my unique ID'); 7 $certificateSigningRequest->setPublicKey((object)$clientPublicKey); 8 $certificateX509 = new File_X509(); 9 $certificateX509->setEndDate('+1 month'); 10 /** 11 * Assinatura do CA 12 */ 13 $clientCertificate = 14 $certificateX509->sign($certificateIntermediateCA, $certificateSigningRequest);
  • 37. Por que ninguém ta usando isso?