OpenID Connect: Um Guia para Desenvolvedores sobre Dados de Identidade

No atual panorama digital interligado, gerir com segurança a identidade do utilizador é fundamental. Enquanto o OAuth 2.0 destaca-se na autorização – concedendo a aplicações acesso a recursos em nome de um utilizador – este não fornece inerentemente informações sobre o utilizador. É aqui que o OpenID Connect (OIDC) entra em jogo. O OIDC é uma camada de identidade construída sobre o OAuth 2.0, fornecendo uma forma padronizada de verificar a identidade do utilizador e obter informações básicas do perfil. Este guia irá aprofundar os conceitos principais do OpenID Connect, os seus benefícios e considerações práticas de implementação para desenvolvedores.

Principais Pontos Chave

OIDC assenta no OAuth 2.0: O OIDC aproveita a estrutura OAuth 2.0 para autenticação e autorização, adicionando uma camada de identidade.

Tokens de Identidade (ID Tokens): Tokens ID baseados em JWT transmitem com segurança dados de identidade do utilizador verificados.

Claims: O OIDC utiliza 'claims' para representar partes da informação do utilizador, padronizados para interoperabilidade.

Fluxos Padronizados: O OIDC define vários fluxos para diferentes tipos de aplicações (web, mobile, nativas) para simplificar a integração.

O que é o OpenID Connect?

O OpenID Connect (OIDC) é uma camada de autenticação sobre a estrutura de autorização OAuth 2.0. Fornece um método padronizado para que as aplicações verifiquem a identidade de um utilizador final com base na autenticação realizada por um Servidor de Autorização. Crucialmente, o OIDC introduz o conceito do Token ID, um JSON Web Token (JWT) que contém claims sobre o utilizador autenticado. Estes claims fornecem dados de identidade essenciais, como o nome do utilizador, o endereço de email e a imagem de perfil. Ao contrário dos tokens de acesso OAuth 2.0, que concedem acesso a recursos, os Tokens ID são especificamente projetados para afirmar a identidade do utilizador.

Pense no OAuth 2.0 como a chave para abrir uma porta (acessar recursos) e no OIDC como um crachá que comprova quem você é antes de receber a chave. Sem o OIDC, a aplicação apenas sabe que um utilizador está autorizado; com o OIDC, sabe quem é o utilizador.

Compreender os Claims do OIDC

Claims são os blocos de construção fundamentais dos dados de identidade no OIDC. São declarações sobre o utilizador, como o seu nome, email ou endereço. O OIDC define um conjunto de claims padrão, garantindo a interoperabilidade entre diferentes fornecedores de identidade (IdPs) e aplicações. Os claims comumente usados incluem:

• sub: Identificador do sujeito – um ID único para o utilizador.
• name: Nome completo do utilizador.
• given_name: Primeiro nome do utilizador.
• family_name: Apelido do utilizador.
• email: Endereço de email do utilizador.
• picture: URL da imagem de perfil do utilizador.
• aud: Público – o ID do cliente da aplicação que recebe o Token ID.
• iss: Emissor – a URL do Servidor de Autorização que emitiu o Token ID.
• exp: Tempo de expiração – o timestamp após o qual o Token ID é inválido.

As aplicações podem solicitar claims específicos durante o processo de autenticação. O IdP incluirá então apenas os claims solicitados no Token ID, minimizando a quantidade de informação partilhada. Também podem ser definidos claims personalizados, mas os claims padronizados são altamente recomendados para máxima compatibilidade.

Fluxos OIDC: Fluxo de Código de Autorização com PKCE

O OIDC suporta vários fluxos, cada um adaptado a diferentes tipos de aplicações. O fluxo mais comum e recomendado para aplicações web modernas é o Fluxo de Código de Autorização com Troca de Chave de Prova (PKCE). Este fluxo oferece segurança aprimorada contra ataques de interceção de código de autorização.

Aqui está uma visão geral simplificada:

1. A aplicação gera um verificador de código e um desafio de código.
2. A aplicação redireciona o utilizador para o Servidor de Autorização com o desafio de código.
3. O utilizador autentica-se com o Servidor de Autorização.
4. O Servidor de Autorização redireciona o utilizador de volta para a aplicação com um código de autorização.
5. A aplicação troca o código de autorização e o verificador de código por um Token ID e um token de acesso.
6. A aplicação valida o Token ID e utiliza os claims para identificar o utilizador.

Integrar OIDC com a Didit

A Didit simplifica a integração OIDC com uma plataforma abrangente e APIs amigáveis para desenvolvedores. A nossa plataforma lida com as complexidades do OIDC, permitindo-lhe concentrar-se na construção da sua aplicação. As principais funcionalidades incluem:

• Conectores OIDC pré-construídos: Integração perfeita com fornecedores de identidade populares como o Google, Facebook e Microsoft.
• Claims personalizáveis: Solicite claims específicos adaptados às necessidades da sua aplicação.
• Validação de token segura: Validação automatizada de Tokens ID para garantir a autenticidade.
• Orquestração de fluxo de trabalho: Crie fluxos de identidade personalizados incorporando a autenticação OIDC.

Com a Didit, os desenvolvedores podem implementar rapidamente e com segurança a autenticação OIDC nas suas aplicações, reduzindo o tempo de desenvolvimento e melhorando a postura de segurança.

Como a Didit Ajuda

A Didit oferece uma plataforma de identidade completa que simplifica as complexidades do OpenID Connect. Cuidamos do trabalho pesado da implementação do OIDC, permitindo que os desenvolvedores:

• Reduzir o tempo de desenvolvimento: Conectores pré-construídos e APIs intuitivas aceleram a integração.
• Aumentar a segurança: Validação de token segura e suporte PKCE protegem contra ataques comuns.
• Melhorar a experiência do utilizador: Fluxos de autenticação perfeitos minimizam o atrito para os utilizadores.
• Dimensionar com confiança: A plataforma Didit foi projetada para lidar com altos volumes de pedidos de autenticação.

Pronto para começar?

Pronto para aproveitar o poder do OpenID Connect e simplificar o processo de autenticação da sua aplicação?

Registe-se para uma conta Didit gratuita e explore a nossa documentação abrangente em Didit Docs. Comece a construir aplicações seguras e escaláveis hoje!

FAQ

Qual é a diferença entre OAuth 2.0 e OpenID Connect?

O OAuth 2.0 é uma estrutura de autorização que permite que as aplicações acessem recursos em nome de um utilizador. O OpenID Connect é uma camada de identidade construída sobre o OAuth 2.0 que fornece uma forma padronizada de verificar a identidade do utilizador e obter dados de identidade.

O que é um Token ID?

Um Token ID é um JSON Web Token (JWT) que contém claims sobre o utilizador autenticado. É emitido pelo Servidor de Autorização após a autenticação bem-sucedida e é utilizado pela aplicação para identificar o utilizador.

O que são claims no OIDC?

Claims são declarações sobre o utilizador, como o seu nome, endereço de email e imagem de perfil. O OIDC define um conjunto de claims padrão para garantir a interoperabilidade entre diferentes fornecedores de identidade e aplicações.

O OIDC é seguro?

Sim, o OIDC é um protocolo seguro quando implementado corretamente. O Fluxo de Código de Autorização com PKCE é o fluxo recomendado para aplicações web modernas, pois oferece segurança aprimorada contra ataques de interceção de código de autorização. Utilizar um Fornecedor de Identidade de confiança e validar o Token ID são cruciais para a segurança.