Entendendo  OAuth  com  Zend  Guilherme  Oliveira  -­‐  @_holiveira  

Jam 2011!

Agenda  

•  Como  surgiu?  •  Como  funciona?  •  Por  que  usar?  •  Parte  práAca  

Jam 2011!

•  Sistemas  de  Informação  –  IST  •  Desenvolvedor  PHP/Android  •  Adobe  Flex  4  CerAfied  •  Devandcoffee.com  

whoami  

Jam 2011!

Como  surgiu?  •  História  •  Inspirações  •  Datas  importantes  

Jam 2011!

A  necessidade  de  criação  surgiu  em  novembro  de  2006  enquanto  Blaine  Cook  trabalhava  na  implementação  do  TwiZer  OpenID.  

História  

Jam 2011!

OpenID  não  delega  acessos.  

•  Flickr  Auth  •  Google  AuthSub  •  Yahoo!  BBAuth    Padrão  aberto  tanto  cliente  quanto  servidor.  

 

Inspirações  

Jam 2011!

•  Novembro  2006  –  Ideia  •  Dezembro  2006  –  CiAzen  Space  •  Abril  2007  –  OpenAuth  Group  •  Julho  2007  –  Draa  versão  1.0  •  Abril  2009  –  “Sign  in  with  TwiZer”  •  Abrir  2009  –  Revisão  A    

Datas  imporantes  

Jam 2011!

Como  funciona?  •  Analogia  Valet  Key  •  Presta  atenção,  sério!  •  Quais  os  atores?  •  Quais  são  as  chaves?  •  Como  é  o  fluxo?  

Jam 2011!

•  Dirigir  por  certa  distancia  •  Não  abrir  o  porta-­‐malas  •  Bloquear  contatos  

ObjeAvo  é  limitar  o  acesso  atráves  de  uma  chave!    

Analogia  Valet  Key  

Jam 2011!

Está  é  a  parte  técnica  que  é  quase  sempre  ignorada  pelo  seu  cérebro,  é  hora  de  acordar  e  entender  como  é  o  funcionamento  do  OAuth.  

Presta  atenção,  sério!  

Jam 2011!

Consumer  

Quais  os  atores?  

Jam 2011!

Service  Provider   User  

Quais  são  as  chaves?  

Jam 2011!

Consumer  Key   Request  Token   Access  Token  

•  Criada  ao  cadastrar  a  aplicação.  

•  Usada  para  saber  qual  aplicação  está  sendo  autorizada.  

•  É  como  o  idenAficador.  

•  Chave  de  autenAcação.  

•  Requisitada  a  primeira  vez  que  você  vai  permiAr  a  aplicação.  

•  Usar  técnicas  de  armazenamento.  

•  Chave  de  autorização.  

•  Requisitada  toda  vez  que  você  vai  acessar  um  recurso.  

Como  é  o  fluxo?  

Jam 2011!

Por  que  usar?  •  Para  o  desenvolvedor  •  Adote  seu  usuário  •  PermiAr  tudo  sem  medo!  

Jam 2011!

Comparada  com  REST  

Jam 2011!

Para  o  desenvolvedor  

Jam 2011!

•  Fácilidade  de  implementação;  •  Fácilidade  de  manutenção;  

Quantas  vezes  seus  usuário  cadastram-­‐se  com  dados  ficscios  pela  aplicação  precisar  de  cadastro?    Quantas  vezes  seus  usuários  cadastram-­‐se  com  dados  “dasdasd”  pela  aplicação  ser  desconhecida?    

•  Não  espalha  sua  senha;  •  Controla  as  permissões  concedidas;  •  Evita  cadastros  e  logins.  

Quantas  vezes  não  usamos  algum  recurso  do  sistema  por  necessitar  de  cadastro?  

Quantas  vezes  não  nos  cadastramos  pela  aplicação  não  parecer  confiável?  

Cuide  do  seu  usuário  

Jam 2011!

•  Usuário  sem  consciência  

•  Chances  de  fazer  merda  •  Não  sabe  revogar  permissão  

PermiAr  tudo  sem  medo!  

Jam 2011!

Let’s  code  !  

Jam 2011!