O que é autenticação OAuth? Uma breve história.
A autenticação OAuth 2.0, conforme explicado pelo oauth.net,é um “protocolo de delegação que é usado para transmitir decisões de autorização em uma rede de aplicativos e APIs habilitados para web”. OAuth foi criado em 2006 por desenvolvedores do Twitter e ma.gnolia, um site de marcação social. Ma.gnolia estava procurando uma maneira de usar o OpenID, juntamente com a API do Twitter, para delegar a autenticação. As equipes pesquisaram ideias e perceberam que não havia padrão aberto para delegação de acesso à API. Além disso, o Google também estava pesquisando esse mesmo problema e ouviu sobre o projeto entre o Twitter e Ma.gnolia. Como resultado, membros do Google se juntaram à equipe. No final de 2007, o draft do OAuth Core 1.0 foi lançado. O quadro atual, OAuth 2.0 foi lançado em outubro de 2012.
OAuth 2.0 Papéis de Autenticação
Dentro do OAuth 2.0, são definidos os quatro papéis a seguir:
- Proprietário de recursos. O proprietário do recurso pode conceder acesso a um recurso ou serviço protegido. Pode ser uma pessoa, um aplicativo ou uma política de segurança, mas tipicamente um ser humano da vida real.
- Servidor de recursos. O é o servidor que hospeda o recurso ou serviço. O servidor aceita e responde às solicitações.
- Aplicativo do cliente. Referido como cliente OAuth, o aplicativo do cliente é o aplicativo que pede acesso aos recursos no servidor de recursos.
- Servidor de autorização. Depois de autenticar o proprietário do recurso e obter autorização, o servidor de autorização fornece os tokens de acesso ao cliente.
É importante notar que o OAuth não é um protocolo de autenticação, mas sim um protocolo de autorização. A forma como os componentes trabalham juntos e interagem pode parecer sugerir autenticação, no entanto, não se destina a ser usado como tal.
Por que usar autenticação OAuth 2.0?
As chances são de que você já viu o conceito OAuth em ação e nem percebeu isso. Muitos dos aplicativos que você usa todos os dias utilizam oAuth. Por exemplo, digamos que você está comprando um item e você encontrá-lo no Etsy. Você gostaria de comprá-lo, mas o único problema é que você não tem uma conta etsy. Na página inicial do Etsy, você verá uma opção para fazer login usando sua conta do Facebook ou Google. Neste caso, você é proprietário de recursos, o Etsy é o aplicativo do cliente, e o Facebook ou o Google é a API ou o servidor de autorização. Agora, você terá que fornecer ao Etsy algumas informações adicionais para comprar itens, mas usando a Autenticação OAuth, isso permite que você faça login no Etsy sem ter que criar uma senha adicional. Hoje, fazer login usando o Facebook ou Google tornou-se onipresente na Internet, então qual é realmente o benefício do OAuth?
- Protegendo sua privacidade. O uso do OAuth permite que você conceda recursos privados de um site para outro. OAuth tem a intenção de lhe dar acesso a certas coisas sem compartilhar sua identidade.
- Experiência do cliente. No exemplo usado acima, o uso de seus dados do Facebook pode permitir que o Etsy melhore sua experiência em seu aplicativo.
- Autenticação mais forte. Confiar em um sistema de autenticação criado por empresas maiores, como Facebook ou Google, é mais fácil e menos arriscado do que criar um internamente.
Além disso, e especificamente para desenvolvedores, existem bibliotecas OAuth em uma variedade de idiomas populares, incluindo PHP, Java, Ruby, Python, .NET, JavaScript e muitos outros. Para obter a lista completa de idiomas suportados, visite https://oauth.net/code/.
Monitoramento de APIs OAuth 2.0 com Dotcom-Monitor
Sua API pode exigir autenticação OAuth 2.0 para permitir que outros serviços web, como aplicativos de clientes, sejam concedidos direitos de acesso a recursos específicos em seu serviço em http/S. Uma chamada de API de serviço que utilize o OAuth 2.0 deve, no mínimo, seguir estes passos:
- Obtendo um token de acesso à API.
- Solicitando dados personalizados do serviço usando o token de acesso concedido ao aplicativo.
Com a plataforma Dotcom-Monitor, você pode configurar um dispositivo de monitoramento de várias tarefas usando uma tarefa HTTP/S. Para ver exemplos de scripts de Autenticação OAuth dentro da plataforma Dotcom-Monitor e aprender mais sobre como configurar um dispositivo de monitoramento para monitorar a disponibilidade e o desempenho das API’s da Web baseadas em OAuth, leia nosso artigo da Base do Conhecimento sobre o monitoramento de APIs OAuth 2.0.
