O OAuth 2.0 é um protocolo standard de autorização que permite que aplicações acedam de forma limitada à conta de um utilizador num serviço Web (HTTP), como a Web API Valuekeep CMMS.
O protocolo delega a autenticação do utilizador ao serviço que detém a conta do utilizador e autoriza o acesso de aplicações externas a essa conta do utilizador. O protocolo disponibiliza fluxos de autorização para aplicações Web, aplicações desktop e aplicações mobile.
De seguida descreve-se o funcionamento básico do protocolo na perspetiva do developer de uma aplicação.
OAuth Roles
O protocolo define 4 roles (papéis):
- Resource owner: trata-se do utilizador que autoriza o acesso da aplicação à sua conta. Esse acesso fica limitado ao scope da autorização dada pelo utilizador.
- Client: é a aplicação que pretende aceder à conta do utilizador.
- Resource server: corresponde ao servidor que hospeda as contas do utilizador.
- Authorization server: é o servidor que verifica a identidade do utilizador e atribui tokens de autorização ao cliente (a aplicação).
Do ponto de vista do developer de uma aplicação, a Web API que pretende consumir cumpre tanto o papel de resource server como o papel de authorization server. Por isso é comum combinarem-se os dois papéis e chamar-lhe de Service (serviço) ou simplesmente API.
Fluxo genérico de autorização
Tipicamente o fluxo de autorização de uma aplicação externa seguirá os seguintes passos:
- A aplicação solicita autorização para aceder aos recursos do utilizador.
- Se o utilizador já autorizou esse pedido, a aplicação recebe um authorization grant.
- A aplicação solicita ao authorization server um access token, apresentando a identidade do utilizador e o authorization grant.
- Se a identidade da aplicação estiver autenticada e o authorization grant for válido, o authorization server atribuirá um acess token à aplicação e o fluxo de autorização termina.
- A aplicação solicita um determinado recurso ao resource server e apresenta o access token que obteve antes.
- Se o access token for válido, o resource server devolverá o recurso solicitado à aplicação.
- Na realidade o fluxo real de autenticação depende do tipo de authorization grant que for utilizado, no entanto, este é fluxo conceptual normal do OAuth. Adiante discutem-se os vários authorization grants disponíveis.
Authorization Grant : Client credentials grant
O tipo de grant utilizado depende do método de autorização que aplicação pretender utilizar e, claro, dos métodos que a Web API suportar. Para trabalhar com a Web API do Valuekeep CMMS devem usar o método de autorização Client Credentials.
Refresh Token
Quando um access token expira, a sua utilização para fazer pedidos à API resultará num erro “Invalid Token Error”. Nesse momento, se um refresh token tiver sido incluído no momento em que o access token foi gerado, pode ser utilizado para fazer um novo token de acesso ao servidor.
Exemplo de um pedido desse tipo: