Português (Brasil)
  • afirmação de cliente
  • tipo de afirmação de cliente
  • gerar afirmação de cliente
  • oidc
  • oauth

O que é a afirmação do cliente na autenticação de cliente OAuth 2.0?

Introduce o que é uma afirmação de cliente e fornece um guia detalhado sobre como gerar uma afirmação de cliente no OAuth 2.0. Também compara brevemente a afirmação de cliente com o método tradicional de ID de cliente e segredo de cliente, oferecendo insights sobre como escolher a abordagem de autenticação mais adequada.

Yijun
Yijun
Developer

O que é autenticação de cliente?

No OAuth 2.0, um "cliente" refere-se a um aplicativo que solicita acesso a um servidor de recursos. A autenticação de cliente é o processo pelo qual o servidor de autorização verifica a identidade do cliente solicitante.

Vamos explicar o comportamento da autenticação de cliente com dois fluxos comuns de autenticação OAuth:

  • Fluxo de código de autorização: Aqui, o cliente primeiro precisa de autorização do usuário (geralmente clicando em um botão de consentimento em uma página de consentimento do usuário) para obter um código de autorização. Em seguida, o cliente usa esse código e credenciais (geralmente um client_id e client_secret) para autenticação e solicita um token de acesso do servidor de autorização.
  • Fluxo de credenciais do cliente: Nesse fluxo, o cliente usa suas credenciais (geralmente um client_id e client_secret) para solicitar um token de acesso diretamente do servidor de autorização sem uma etapa de autorização do usuário.

O que é afirmação de cliente?

No OAuth 2.0, a afirmação de cliente é um método eficiente e seguro para autenticação de cliente. Comparada ao tradicional ID e segredo de cliente, a afirmação de cliente usa JSON Web Tokens (JWT) para aumentar a segurança e a flexibilidade, tornando o processo de autenticação mais confiável e informativo.

Os JWTs são compactos e autossuficientes, transmitindo informações com segurança entre partes como objetos JSON. Um JWT contém declarações sobre uma entidade (geralmente o usuário) e outros dados, incluindo:

  • iss (Emissor): O reclamante, geralmente o ID do cliente, indicando quem criou o JWT.
  • sub (Sujeito): Também tipicamente o ID do cliente, indicando o sujeito do JWT.
  • aud (Audiência): Refere-se ao URL do endpoint de token do servidor de autorização, mostrando para quem o JWT se destina.
  • exp (Tempo de Expiração): O tempo de expiração após o qual o JWT não é mais aceito.
  • iat (Emitido em): O tempo de emissão, marcando quando o JWT foi criado.
  • jti (ID do JWT): Um identificador único para o JWT, principalmente para evitar que o JWT seja reproduzido.

Essa combinação de informações proporciona uma segurança inigualável em relação à autenticação tradicional com segredo de cliente, adicionando flexibilidade e capacidades de controle.

Como gerar uma afirmação de cliente?

Vamos demonstrar como gerar uma afirmação de cliente para o fluxo de credenciais do cliente no OAuth 2.0; a afirmação é aplicada principalmente quando o cliente solicita um token de acesso em seu nome, sem envolvimento direto do usuário.

Ao autenticar com uma afirmação de cliente no OAuth 2.0, o client_assertion_type deve ser urn:ietf:params:oauth:client-assertion-type:jwt-bearer, e o parâmetro client_assertion carrega a afirmação JWT do cliente. Aqui está um exemplo de código Node.js para gerar uma afirmação JWT para autenticação de cliente:

Garanta a segurança do segredo do cliente e tome medidas apropriadas para prevenir sua divulgação.

Qual é a diferença entre afirmação de cliente e ID de cliente com segredo de cliente?

Usar ID de cliente e segredo de cliente é o método mais comum para autenticação de cliente.

Para aprender a diferença entre afirmação de cliente e ID de cliente e segredo de cliente, a melhor maneira é ver os exemplos de uso de código.

Quando utiliza-se ID de cliente e segredo de cliente para autenticação de cliente, o cliente envia uma solicitação POST para o endpoint de token do servidor de autorização com credenciais relacionadas ao cliente:

Como você pode ver, o ID de cliente com segredo é mais simples, fácil de implantar e suportado por quase todos os provedores de serviços OAuth. No entanto, ele tem algumas limitações:

  • O segredo do cliente é transmitido em solicitações, tornando-o vulnerável à interceptação em redes inseguras.
  • O segredo pode ser facilmente acessado por serviços não relacionados dentro de uma rede interna onde os serviços se comunicam entre si sem TLS.
  • A combinação fixa de ID de cliente e segredo é suscetível a ataques de reprodução.
  • Confiar apenas no ID de cliente e segredo para autenticação limita a flexibilidade do mecanismo e impede a inclusão de mais metadados do cliente ou informações personalizadas.

Devo usar afirmação de cliente ou ID de cliente com segredo de cliente?

Como discutido, cada método de autenticação tem suas vantagens e cenários aplicáveis. Ao integrar serviços OAuth 2.0, escolha a opção mais adequada com base em necessidades específicas.

A afirmação de cliente, com suas tecnologias avançadas de criptografia, proporciona proteção de dados e suporta cenários complexos de autenticação, permitindo uma fácil expansão futura. No entanto, devido à sua complexidade e à necessidade de um profundo entendimento de JWT e seus mecanismos de criptografia, a autenticação mais simples com ID de cliente e segredo pode ser mais apropriada para equipes com recursos limitados ou para aquelas que buscam uma implantação rápida.

Resumo

Este artigo discutiu a aplicação de afirmações de cliente na autenticação de cliente OAuth 2.0, comparando-a com métodos tradicionais de autenticação com ID e segredo de cliente. A afirmação de cliente oferece segurança aprimorada e flexibilidade para necessidades de segurança complexas, mas também implica maior complexidade de implementação. Na prática, escolha a opção mais adequada com base em requisitos específicos e expertise técnica para atender às necessidades de desenvolvimento de negócios.