Eduardo Cesar apresentou sobre os mecanismos de autenticação e autorização na web, discutindo conceitos como autenticação baseada em cookies e sessões, autenticação básica HTTP, tokens JWT e OAuth. Ele também forneceu considerações e ferramentas para implementar cada técnica.

1. PHP COMMUNITY SUMMIT 2018
EDUARDO CESAR
DESENVOLVEDOR WEB - ZARP
EXPLORANDO OS MECANISMOS
DE AUTENTICAÇÃO NA WEB

2. AUTENTICAR x AUTORIZAR

3. AUTENTICAR

4. AUTORIZAR

5. Authentication
Authentication is the process of verification that an individual, entity or website is
who it claims to be.
Authorization
Generally enforced on the basis of a user-specific policy, and authentication is the
way to establish the user in question.
OWASP

6. Dado um cenário onde vamos precisar autenticar
e autorizar acessos de nossos usuários tantos
em aplicações web tradicionais quanto em
nossas apis, quais conceitos e técnicas
podemos utilizar para resolver esse problema?

7. AUTENTICAÇÃO BASEADA EM COOKIES E
SESSÕES

9. Considerações
Com o bom suporte que o PHP provê para manipular cookies e sessões este
modelo é muito utilizado, como por exemplo session_start(), para iniciar uma
sessão e $_SESSION para manipular as váriaveis de sessão
Comumente os frameworks web fornecem uma abstração em forma de
componentes ou biblioteca para autenticação.
Só funciona para um domínio

10. Ferramentas
Agnóstica a framework
https://github.com/PHPAuth/PHPAuth
Para o Laravel
https://laravel.com/docs/5.6/authentication#introduction
Para o Symfony
https://symfony.com/doc/current/components/security/authentication.html#s
ecurity-events

11. BASIC AUTHENTICATION

13. Considerações
Extremamente simples realizar autenticação básica HTTP
Sua aplicação se mantém stateless uma vez que não há armazenamento algum
sobre estado
Toda a requisição que necessitar de autenticação deverá conter as credenciais e
posterior processo de autenticação

15. Ferramentas
Para o Laravel
https://laravel.com/docs/5.6/authentication#http-basic-authentication
Para o Symfony
https://symfony.com/doc/current/security.html#a-configuring-how-your-user
s-will-authenticate

17. MAS O QUE É UM TOKEN JWT ?

21. Considerações
É uma especificação descrita na na RFC 7519
Provê uma forma segura para troca de informações utilizando formato JSON
Trabalha com criptografia e faz usos de chaves simétricas e assimétricas
Nunca forneça dados sensíveis, ou se quer crie um token sem a definição de um
algoritmo em seu header

22. Ferramentas
Independente de frameworks
https://github.com/lcobucci/jwt
Para o Laravel
https://github.com/tymondesigns/jwt-auth
Para o Symfony
https://github.com/lexik/LexikJWTAuthenticationBundle

25. Open Authorization (OAuth) is a protocol that allows
an application to authenticate against a server as a
user, without requiring passwords or any third party
server that acts as an identity provider.

26. ELEMENTOS QUE COMPÕE O OAUTH

27. ELEMENTOS QUE COMPÕE O OAUTH
● Resource Owner
● Resource Server
● Client
● Authorization Server

29. Considerações
É uma especificação descrita na na RFC 6749
Provê um robusto mecanismo para autorização e acesso delegado a terceiros
Os tokens gerados podem ser do tipo JWT
É importante se atentar a qual versão do protocolo está sendo usada

30. Ferramentas
Independente de frameworks
https://github.com/thephpleague/oauth2-server
Para o Laravel
https://github.com/laravel/passport

31. Esteja atento…
Sempre filtrar e validar todo input e output do usuários
Nunca salve dados sensíveis em em tokens ou sessões
Nunca retorne erros das suas camadas de banco
Utilize códigos http adequadamente

32. Ainda sobre autenticação….
SSO Single Sing On
OPENID
Two factors auth

33. RE ÊN I
OWASP:
https://bit.ly/1Drghjd
https://bit.ly/1HgzS7M
HTTP BASIC:
https://bit.ly/2x51NLJ
JWT:
https://bit.ly/2pqH3M6
https://bit.ly/2p3PdYH
OAUTH:
https://bit.ly/2x9hnWs
https://do.co/1dOwetI
https://bit.ly/2MrmhTy
SING SIGN-ON:
https://bit.ly/2CTAI3k
https://bit.ly/2x9vTh4
https://bit.ly/2pbDfwh
TWO FACTOR AUTHENTICATION
https://bit.ly/2x51NLJ
OPEN ID:
https://ubm.io/2p4tYpy
https://bit.ly/2NJYWRI

34. OBRIGADO A TODOS!
EDUARDO CESAR
github.com/bolinha1
/in/eduardo-cesar-oliveira
eduardo.oliveira@zarpsystem.com.br
www.zarpsystem.com.br
ESTAMOS CONTRATANDO!!!