Monitore, controle e depure contêineres Docker com WhaleDeck
24 de janeiro de 2024Uma plataforma para Kubernetes
24 de janeiro de 2024JSON Web Tokens (JWTs) são ferramentas poderosas e convenientes para proteger APIs. Seu formato é padronizado; eles são protegidos criptograficamente, independentes e simplesmente muito úteis. Como os JWTs geralmente não são criptografados, você pode analisá-los facilmente e inspecionar sua estrutura e conteúdo. Você pode usar ferramentas online convenientes para essa finalidade. Deixe-me compartilhar uma dica pessoal: confira OAuth.Tools.
OAuth.Tools é uma ferramenta online gratuita fornecida pela Curity. Ele oferece recursos incríveis para qualquer pessoa que trabalhe ou esteja interessada em OAuth e OpenID Connect. Esses protocolos são comumente usados para “terceirizar o login”. OAuth é muito mais do que apenas um token de acesso. Dessa forma, você pode usar OAuth.Tools para decodificar ou criar JWTs com características diferentes, buscar tokens de um servidor, revogar tokens ou adicionar um token de acesso a chamadas de API externas e verificar o comportamento.
Curity é um fornecedor líder de tecnologia de segurança IAM e API que permite autenticação e autorização de usuários para serviços digitais. O Curity Identity Server é altamente escalável, lida com as complexidades dos principais padrões de identidade, tornando-os mais fáceis de usar, personalizar e implantar.
Saber mais
As últimas novidades da Curity
$(document).ready(function() { $.ajax({ método: ‘POST’, url: ‘/no-cache/sponsors-rss-block/’, headers: { ‘Cache-Control’: ‘no- cache, no-store, must-revalidate’, ‘Pragma’: ‘no-cache’, ‘Expires’: ‘0’ }, dados: { patrocinadorSlug: ‘curity’, numItems: 3}, sucesso: função (dados) { if (data.startsWith(‘ERROR’)) { console.log(data); $(‘.sponsor-note-rss’).hide(); } else { $(‘.sponsor-note-rss-items -curity’).html(dados); } } }); });
Configuração
O Playground da Curidade
OAuth.Tools fornece um ambiente e espaço de trabalho pré-configurados, o Curity Playground. Como o nome sugere, você pode usar isso para brincar com a ferramenta. Também inclui alguns exemplos que você pode executar facilmente sem a necessidade de qualquer configuração ou instalação.
Os exemplos demonstram como usar vários fluxos e fornecem um início rápido. Por exemplo, para decodificar um JWT, basta clicar em “Demo: JWT Token” e copiar e colar o valor no campo de código. Para outros fluxos, o Curity Playground é configurado com clientes de demonstração. Para buscar um token, por exemplo, você pode experimentar o “Demo: Code Flow” configurado com um cliente. Você pode encontrar os clientes nas configurações do espaço de trabalho. Eles permitem que qualquer pessoa execute um fluxo OAuth rapidamente, sem conhecimento prévio ou configuração manual.
Personalizar configurações
Você pode usar o OAuth.Tools com qualquer servidor compatível com OAuth. O único requisito é que os serviços OAuth estejam acessíveis pela Internet.
No menu principal você pode criar, importar, exportar ou compartilhar configurações através de links. Dessa forma, a configuração do espaço de trabalho torna-se portátil. Você pode retornar a ele em outro momento ou compartilhar seu trabalho com um colega.
Um espaço de trabalho representa a integração com um serviço, como o Curity Playground. Nas configurações, você especifica os diferentes URLs e endpoints para o serviço. De preferência, você usa um serviço de descoberta como o serviço de descoberta OIDC ou WebFinger para recuperar automaticamente algumas das configurações. Você só precisa inserir os dados do cliente que recebeu do provedor de serviços. Consulte a documentação do provedor de serviços para saber como registrar um cliente OAuth (às vezes chamado de registro de aplicativo).
Características
Ótima visão geral
Ao lado do menu principal está a lista de fluxos. Um fluxo é basicamente uma tarefa, como uma solicitação ou uma série de solicitações (no caso do fluxo de código, por exemplo). “Decodificar JWT”, “Criar JWT” e solicitações relacionadas ao OAuth, como “Code Flow” ou “Client Credentials Flow” são exemplos de tarefas suportadas pelo OAuth.Tools. Até mesmo novos recursos, como emissão de credenciais verificáveis (VCI), são suportados. Você pode organizar seu trabalho agrupando fluxos.
A janela principal mostra dois painéis. O painel esquerdo é o painel de configuração onde você insere os detalhes do fluxo. O painel direito mostra o resultado — o corpo de uma solicitação. Por exemplo, ao decodificar JWTs, você insere o JWT codificado no painel esquerdo e OAuth.Tools lista os detalhes no painel direito.
Informações úteis
Ambos os painéis da janela principal fornecem informações muito úteis. Por exemplo, OAuth.Tools destaca as diferentes partes de um JWT — o cabeçalho, a carga útil (dados) e a assinatura — no campo de entrada. Se você fornecer uma chave de verificação de assinatura próxima ao JWT, o OAuth.Tools validará sua assinatura e imprimirá uma bela caixa verde no painel de resultados.
Ao validar JWTs, você também pode selecionar um tipo e o OAuth.Tools informará se o JWT fornecido atende aos requisitos desse tipo. Por exemplo, se um JWT for um token de acesso, ele deverá conter uma declaração aud e de escopo. OAuth.Tools exibe um aviso se essas declarações estiverem faltando. Com esse recurso, você pode analisar um JWT, validar sua assinatura e verificar rapidamente se ele também está em conformidade com os padrões e práticas recomendadas.
OAuth.Tools fornece informações úteis em muitos casos, além da decodificação JWT. Ao criar um fluxo, permite definir configurações comuns usando elementos da interface do usuário. Por exemplo, permite ativar o PKCE (chave de prova para troca de código) ou criar uma solicitação assinada (JWT Secured Authorization Request) com switches únicos. OAuth.Tools é educativo, pois não requer muito conhecimento sobre o protocolo, mas você eventualmente ganhará algum.
A força do OAuth.Tools está nos detalhes. Se disponível, OAuth.Tools lista detalhes da solicitação, como todos os parâmetros de consulta. Por exemplo, o fluxo de código é um fluxo de duas etapas onde a primeira etapa começa no canal frontal, o navegador. OAuth.Tools mostra como o navegador recebe um código de autorização e permite trocá-lo por tokens. Você pode copiar e colar solicitações e executá-las no navegador ou terminal. Além disso, OAuth.Tools imprime respostas do servidor – conseqüentemente, OAuth.Tools é útil para testar e depurar integrações OAuth e OpenID Connect.
Experimente
O que eu gosto no OAuth.Tools é sua integridade. Não só suporta muitos fluxos, mas também fornece os recursos de suporte necessários. Por exemplo, sempre que uma chave for necessária, basta pressionar um botão para criar uma. Além disso, quando um fluxo requer um token, você pode selecionar um token apropriado proveniente de outro fluxo. Isso significa que você pode criar um fluxo de código para obter um token e executar um fluxo de introspecção para listar seus detalhes. Existem até atalhos para isso!
Seja qual for o seu negócio com OAuth, seja você um usuário experiente ou novato, você deve experimentar o OAuth.Tools.
A postagem OAuth.Tools: a ferramenta online que vai além dos JWTs apareceu pela primeira vez em The New Stack.