Tokens de autorização
Tokens de autorização são uma forma alternativa de um usuário se autenticar no sistema sem informar as suas credenciais de acesso. Eles apresentam as seguintes vantagens em relação ao uso de credenciais:
- Eles não expõem a senha do usuário em variáveis de ambientes, códigos-fontes ou parametrizações.
- Eles podem ser revogados de forma individual pelo usuário.
- Eles podem ser configurados para ter um escopo de utilização mais restrito que o do usuário, limitando assim o seu uso e os riscos do token ser interceptado e utilizado para outros fins.
O escopo de um token de autorização é configurado por meio de uma lista de identificadores,
separados por espaço. Escopos utilizados pelas APIs definidas pelo sistema podem ser visualizados
no cadastro Admin > Segurança > Escopos de autorização, no entanto
a criação do token não é restrita a essa relação. Um token de autorização pode incluir outros
identificadores de escopos que não estejam cadastrados, permitindo o controle de APIs de
sistemas de terceiros.
Processo Tokens de autorização
Caminho: Admin > Segurança > Tokens de autorização.
Exibe todos os tokens de autorização ativos emitidos pelos usuários do sistema.
Descrição: descreve a finalidade para a qual o token de autorização foi criado.
Data e hora de expiração: indicam quando o token será expirado e revogado automaticamente pelo sistema.
Usuário: usuário que será autenticado pelo token.
Escopos: escopos autorizados pelo token.
Última utilização: indica a data e hora da última utilização do token de autorização. Essa informação é útil para o usuário avaliar o impacto da revogação de um token.
Operações comuns
Autorizar uma API
Para autorizar uma API HTTP, deve-se utilizar o botão “Autorizar API” disponível na tela inicial do processo. Após pressionar o botão, são apresentadas as APIs do sistema que suportam o conceito de escopos de autorização e que podem ser autorizadas por meio deste processo. Devem ser selecionadas as APIs a serem autorizadas e em seguida deve-se clicar no botão “Avançar”.
Na tela seguinte, são apresentados todos os escopos de autorização utilizados pelas APIs selecionadas. Ao selecionar os escopos de autorização, são exibidas as rotas que serão autorizadas ou desautorizadas por esses escopos.
Por padrão, o token de autorização criado será em nome do usuário que está utilizando o sistema. Esse comportamento pode ser modificado por meio do botão “Alterar usuário” na grade “Dados do token”. Nessa mesma grade, também deve ser descrita a finalidade do token que está sendo criado. Por último, deve ser utilizado o botão “Criar token de autorização” para concluir a operação.
Na tela final, será apresentado o identificador único do token de autorização criado. Copie esse identificador e informe-o ao desenvolvedor que realizará o uso da API. Esse identificador não é gravado no sistema e não poderá ser recuperado. Caso esse identificador seja perdido, um novo token de autorização deverá ser criado.
Revogar um token de autorização
Para revogar manualmente um token de autorização, o usuário deverá utilizar os processos
Admin > Segurança > Tokens de autorização ou Perfil do usuário > Tokens de autorização,
selecionar o token a ser revogado e clicar no botão de remover registro da grade.
Processos auxiliares
Perfil do usuário > Tokens de autorização
Caminho: Perfil do usuário > Tokens de autorização.
Processo similar ao existente no módulo Admin, mas com uma visão mais restrita, que exibe apenas os tokens ativos associados ao usuário logado no sistema.