TsgcHTTP_OAuth2_Server

Este componente fornece a implementação do protocolo OAuth2 nos componentes do lado do servidor.

Os componentes de servidor têm uma propriedade chamada Authorization.OAuth.OAuth2 onde você pode atribuir uma instância de TsgcHTTP_OAuth2_Server, de modo que, se a Authentication estiver habilitada e a propriedade OAuth2 estiver anexada ao componente OAuth2 Server, as WebSocket e HTTP Requests exigirão um Bearer Token para serem processadas; caso contrário, a conexão será fechada automaticamente.

    OAuth2 := TsgcHTTP_OAuth2_Server.Create(nil);
    Server.Authentication.Enabled := True;
    Server.Authentication.OAuth.OAuth2 := OAuth2;

O servidor suporta os seguintes tipos de autorização:

• auth2Code: É utilizado para realizar autenticação e autorização na maioria dos tipos de aplicações, incluindo aplicações de página única, aplicações web e aplicações instaladas nativamente. O fluxo permite que as aplicações adquiram com segurança access_tokens que podem ser utilizados para acessar recursos protegidos, bem como refresh tokens para obter access_tokens adicionais, e ID tokens para o usuário autenticado.

• auth2ClientCredentials: Este tipo de concessão é comumente usado para interações servidor-a-servidor que devem rodar em segundo plano, sem interação imediata com um usuário. Esses tipos de aplicações são frequentemente chamados de daemons ou contas de serviço.

• password (Resource Owner Password Credentials): Permite que uma aplicação faça o login do usuário tratando diretamente suas credenciais. O cliente envia o nome de usuário e a senha do usuário ao endpoint de token.

• urn:ietf:params:oauth:grant-type:device_code (Device Code): Device Authorization Grant conforme a RFC 8628. Permite que dispositivos com restrições de entrada (smart TVs, dispositivos IoT) obtenham autorização do usuário fazendo com que o usuário autorize em um dispositivo secundário.

O tipo de Authorization pode ser personalizado ao registrar o App; por padrão, todos os tipos de autorização são suportados.

EndPoints

Por padrão, o componente é configurado com os seguintes endpoints para tratar requisições de Authorization e Token

Authorization: /sgc/oauth2/auth

Token: /sgc/oauth2/token

Revocation: /sgc/oauth2/revoke

Introspection: /sgc/oauth2/introspect

Device Authorization: /sgc/oauth2/device

Device Verification: /sgc/oauth2/device/verify

Portanto, se o servidor estiver escutando na porta 443 e o domínio for www.esegece.com, os EndPoints serão:

Authorization: https://www.esegece.com/sgc/oauth2/auth

Token: https://www.esegece.com/sgc/oauth2/token

Revocation: https://www.esegece.com/sgc/oauth2/revoke

Introspection: https://www.esegece.com/sgc/oauth2/introspect

Device Authorization: https://www.esegece.com/sgc/oauth2/device

Device Verification: https://www.esegece.com/sgc/oauth2/device/verify

Os endpoints podem ser configurados na propriedade OAuth2Options.

Por padrão, o PKCE (é uma extensão do fluxo Authorization Code para evitar ataques de CSRF e de injeção de código de autorização) está habilitado.

Configuração

Antes de poder iniciar o processo de OAuth2, você deve registrar quais Apps estarão disponíveis, isso é feito utilizando a propriedade Apps do componente servidor OAuth2.

Registrar app

Use Apps.AddApp para adicionar um novo Application ao servidor OAuth2, você deve definir os seguintes parâmetros:

• App Name: é o nome da Aplicação. Exemplo: MyApp
• RedirectURI: é para onde as respostas serão redirecionadas. Exemplo: http://127.0.0.1:8080
• ClientId: é informação pública e é o ID do cliente.
• ClientSecret: deve ser mantido confidencial.

Opcionalmente, você pode definir os seguintes parâmetros:

• ExpiresIn: por padrão é 3600 segundos, portanto o token expirará em 1 hora; você pode definir um valor maior se precisar.
• RefreshToken: por padrão, os refresh tokens são suportados; se não, defina este parâmetro como false.
• AllowedGrantTypes: por padrão, todos os grant types são suportados (auth2Code e auth2ClientCredentials), mas o servidor pode ser configurado para permitir somente Code Authorization ou somente Client Credentials.

Excluir App

Use Apps.RemoveApp para excluir um App existente.

AddToken

Se o servidor tiver sido reiniciado enquanto havia alguns tokens emitidos, você pode recuperar esses tokens utilizando o método AddToken antes de iniciar o OAuth2 Server e após registrar os Apps

• AppName: o nome da aplicação.
• Token: token de acesso.
• Expires: quando o token expira.
• RefreshToken: refresh token.

RemoveToken

Remove um Token já emitido.

OAuth2Options

A propriedade OAuth2Options permite configurar os endpoints do servidor e recursos opcionais.

Revogação

Revogação de token conforme a RFC 7009. Quando habilitado, os clientes podem revogar access ou refresh tokens emitidos anteriormente.

• OAuth2Options.Revocation.Enabled: defina como True para habilitar o endpoint de revogação.
• OAuth2Options.Revocation.URL: o caminho da URL do endpoint. Padrão: /sgc/oauth2/revoke

Introspection

Introspecção de token conforme a RFC 7662. Quando habilitada, os servidores de recursos podem consultar o servidor de autorização para determinar o estado ativo e os metadados de um token.

• OAuth2Options.Introspection.Enabled: defina como True para habilitar o endpoint de introspecção.
• OAuth2Options.Introspection.URL: o caminho da URL do endpoint. Padrão: /sgc/oauth2/introspect

DeviceAuthorization

Device Authorization Grant conforme a RFC 8628. Quando habilitado, dispositivos com entrada limitada podem solicitar autorização fazendo o usuário autorizar em um dispositivo secundário.

• OAuth2Options.DeviceAuthorization.Enabled: defina como True para habilitar o endpoint de device authorization.
• OAuth2Options.DeviceAuthorization.URL: o path da URL do endpoint para requisições de device code. Padrão: /sgc/oauth2/device
• OAuth2Options.DeviceAuthorization.VerificationURL: o caminho da URL do endpoint para a página de verificação do usuário. Padrão: /sgc/oauth2/device/verify
• OAuth2Options.DeviceAuthorization.ExpiresIn: o tempo de vida em segundos do device code. Padrão: 600 (10 minutos).
• OAuth2Options.DeviceAuthorization.Interval: o intervalo mínimo de polling em segundos que o cliente deve utilizar ao consultar o endpoint de token. Padrão: 5.