Linha Datasul

Árvore de páginas

Versões comparadas

Versão antiga 4

changes.mady.by.user Ricardo Suzuki Junior

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Ricardo Suzuki Junior

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

A seguir serão apresentados alguns exemplos de fluxos:

1.

FLUXO 1 - Caminho feliz

Image Modified

Bloco de código


  1. O
  1. usuário,
  1. no
  1. navegador,
  1. entra
  1. na
  1. tela
  1. de
  1. login
  1. web
2.
  2. Após
  1. a
  1. inserção
  1. das
  1. credenciais,
  1. é
  1. efetuada
  1. uma
  1. requisição
  1. ao
  1. login-service
  1. (*1)
3.
  2. Caso
  1. a
  1. autenticação
  1. seja
  1. realizada
  1. com
  1. sucesso,
  1. será
  1. retornada
  1. informações
  1. dos
  1. tokens
  1. (access_token
  1. e
  1. refresh_token)
  1. (*2)
  1. e
  1. será
  1. automaticamente
  1. redirecionado
  1. para
  1. o
  1. aplicativo
  1. padrão
  1. (portais,
  1. menu,
  1. dashboard,
  1. entre
  1. outros)
  1. (*3)
4.
  2. Com
  1. os
  1. tokens
  1. devidamente
  1. armazenados,
  1. eles
  1. são
  1. enviados
  1. para
  1. o
  1. acesso
  1. a
  1. um
  1. determinado
  1. endpoint
  1. (*4)
5.
  2. O
  1. DSS
  1. architeture
  1. efetuará
  1. a
  1. validação
  1. do
  1. token
  1. enviado
  1. (*4)
  1. e
  1. caso
  1. esteja
  1. tudo
  1. OK,
  1. o
  1. acesso
  1. será
  1. autorizado
  1. com
  1. a
  1. requisição
  1. concluída
  1. (*5
  1. e
  1. *6).

FLUXO 2 - Requisição direta ao front-end


Image Modified

Bloco de código1.


  1. O
  1. usuário,
  1. no
  1. navegador,
  1. acessa
  1. diretamente
  1. um
  1. endereço
  1. correspondente
  1. a
  1. uma
  1. tela
  1. front-end
  1. (menu,
  1. dashboard,
  1. portal,
  1. entre
  1. outros)
  1. (*1);
2.
  2. O
  1. front-end
  1. tenta
  1. acessar
  1. um
  1. endpoint
  1. seguro
  1. (*2);
3.
  2. Na
  1. validação
  1. do
  1. endpoint,
  1. foi
  1. verificado
  1. que
  1. não
  1. existem
  1. tokens
  1. (acesso
  1. e
  1. atualização)
  1. (*2),
  1. sendo
  1. retornado
  1. o
  1. erro
  1. HTTP
  1. Status
  1. 401
  1. (não
  1. autorizado)
  1. (*3);
4.
  2. O
  1. front-end
  1. interpreta
  1. este
  1. tipo
  1. de
  1. erro
  1. e
  1. redireciona
  1. para
  1. a
  1. tela
  1. de
  1. login
  1. web
  1. para
  1. que
  1. as
  1. credenciais
  1. sejam
  1. informadas
  1. (*4);
5.
  2. Após
  1. a
  1. inserção
  1. das
  1. credenciais,
  1. é
  1. efetuada
  1. uma
  1. requisição
  1. ao
  1. login-service
  1. (*5);
6.
  2. Caso
  1. a
  1. autenticação
  1. seja
  1. realizada
  1. com
  1. sucesso,
  1. será
  1. retornada
  1. informações
  1. dos
  1. tokens
  1. (access_token
  1. e
  1. refresh_token)
  1. (*6)
  1. e
  1. será
  1. automaticamente
  1. redirecionado
  1. para
  1. o
  1. endereço
  1. de
  1. back_to
  1. correspondente
  1. ao
  1. front-end
  1. que
  1. efetuou
  1. o
  1. redirecionamento
  1. na
  1. etapa
  1. 4
  1. (*7);
7.
  2. Com
  1. os
  1. tokens
  1. devidamente
  1. armazenados,
  1. eles
  1. são
  1. enviados
  1. novamente
  1. para
  1. o
  1. endpoint
  1. seguro
  1. (*8);
8.
  2. O
  1. DSS
  1. architeture
  1. efetuará
  1. a
  1. validação
  1. do
  1. token
  1. enviado
  1. (*8)
  1. e
  1. caso
  1. esteja
  1. tudo
  1. OK,
  1. o
  1. acesso
  1. será
  1. autorizado
  1. com
  1. a
  1. requisição
  1. concluída
  1. (*9
  1. e
  1. *10).

FLUXO 3 - Requisição com um token inválido e/ou expirado

IMAGEM

Image Added

Bloco de código1.


  1. O
  1. front-end
  1. tenta
  1. acessar
  1. um
  1. endpoint
  1. seguro
  1. (*
2
  1. 1);
2.
  2. Na
  1. validação
  1. do
  1. endpoint,
  1. foi
  1. verificado
  1. que
  1. o
  1. token
  1. está
  1. inválido
  1. e/ou
  1. expirado
  1. (*2),
  1. sendo
  1. retornado
  1. o
  1. erro
  1. HTTP
  1. Status
  1. 401
  1. (não
  1. autorizado)
  1. (*
3
  1. 2);
3.
  2. O
  1. front-end
  1. interpreta
  1. este
  1. tipo
  1. de
  1. erro
  1. e
  1. reconhece
  1. que
  1. existe
  1. um
  1. refresh_token
válido
  1. ,
  1. portanto
  1. tenta
  1. efetuar
  1. a
  1. renovação
  1. do
  1. token
  1. por
  1. intermédio
  1. do
  1. login-service
  1. (*
5
  1. 3);
4.
  2. Caso
  1. a
  1. validação
  1. do
token de atualização seja concluída com sucesso, serão retornados novos tokens
  1. refresh_token seja concluída com sucesso, serão retornados novos tokens (access_token
  1. e
  1. refresh_token)
  1. (*
6) 5. Com os tokens devidamente atualizados em seu armazenamento, eles são enviados novamente para o endpoint seguro (*8); 6. O DSS architeture efetuará a validação do token enviado (*8) e caso esteja tudo OK, o acesso será autorizado com a requisição concluída (*9 e *10
  1. 4)
  2. Com os tokens devidamente atualizados em seu armazenamento, eles são enviados novamente para o endpoint seguro (*5);
  3. O DSS architeture efetuará a validação do token enviado (*8) e caso esteja tudo OK, o acesso será autorizado com a requisição concluída (*6).

04. ARMAZENAMENTO DOS TOKENS

...

Os tokens devem ser armazenados para não houver a necessidade de efetuar sua geração a cada requisição, quanto ao armazenamento, foram consideradas três propostas:

sessionStorage

PRÓSCONTRAS
  • Fácil interação
 Capacidade
  • Capacidade de armazenamento maior 5-10MB
 
-
  • Possível inviabilidade devido a cross domain
   -
  • Abertura de uma nova URL é considerada outra sessão
.

...

  • , portanto os dados não são repassados
Aviso
titleAviso

Devido a característica do DSS, onde os serviços serão distribuídos em diversas portas, esta opção se torna inviável para utilização.

localStorage

PRÓSCONTRAS
  • Fácil interação
  • Capacidade de armazenamento em 5MB.
  •  Necessidade

STORAGE (localStorage)

 - Fácil interação
 - Capacidade em 5MB - Necessidade
  • de gerenciar um cross domain pois o storage é disponível por host e porta
 - Opções Iframe
   -
  • Opções de visibilidade com o uso de Iframes
    • Sincronização de eventos (abertura da tela com set da localStorage em cada projeto para receber o parametro)

COOKIES

Informações
titlePOC de Iframe

Com o uso de Iframes, é possível seguir o conceito de compartilhamento dos dados conforme diagrama abaixo:

Image Added

Foram realizados POCs para verificar a visibilidade da informação do token na localStorage, sendo seus resultados apresentados a seguir:

Situação 1: Login web e front-end com o mesmo domínio (com portas diferentes), onde o endereço localhost:4200 (login web) e localhost:4400 (front-end).

Image Added


Situação 2: Login web e front-end com domínios e portas diferentes, onde o endereço localhost:4200 (login web) e 172.16.42.7:4400 (front-end). Nesta situação, devido a questões de segurança não foi possível compartilhar as informações do localStorage.

Image Added


Situação 3: Login web como main-domain e front-end como sub-domain e portas diferentes, onde o endereço dss.com:4200 (login web) e menu.dss.com:4400 (front-end).

Image Added

Cookies

-
PRÓSCONTRAS
  • Alinhado com futuras entregas do Identity
 -
  • Visibilidade entre domínios
 -
  • Configurações de visibilidade de acordo com regras de segurança dos próprios cookies
-
  • Limitação em 4KB
  -
  • Possivel implementação de um cookie opaco
  -
  • Pode ter uma lentidão para regatar o valor do cookie
Informações
titlePOC de Cookies

Foram realizados POCs para verificar a visibilidade da informação no cookie, sendo seus resultados apresentados a seguir:

Situação 1: Login web e front-end com o mesmo domínio (com portas diferentes), onde o endereço localhost:4200 (login web) e localhost:4400 (front-end).

Image Added


Situação 2: Login web e front-end com domínios e portas diferentes, onde o endereço localhost:4200 (login web) e 172.16.42.7:4400 (front-end). Nesta situação, devido a questões de segurança não foi possível compartilhar as informações do cookie.

Image Added

Nota
titleNota

Para este tipo de situação, teoricamente uma alternativa seria parametrizar o atributo SameSite='None', porém para isso é obrigatório que o Cookie possua também o parâmetro Secure=true, o que pode impactar na obrigação de instalar todos os serviços do DSS com o protocolo HTTPS. 


Situação 3: Login web como main-domain e front-end como sub-domain e portas diferentes, onde o endereço dss.com:4200 (login web) e menu.dss.com:4400 (front-end).

Image Added

05. SERVIÇO DE LOGIN

O serviço de login é iniciado com o uso do spring-boot.

A seguir são apresentadas as propriedades específicas deste serviço que podem ser configuradas no arquivo application.properties.

PropriedadeDescrição
totvs.jwt.audienceAudiência utilizada para a geração e autorização do token JWT.
totvs.jwt.expirationTempo de expiração do token JWT (em segundos).
totvs.jwt.tenantId

Valor parametrizável da claim tenantId

(Pendente Issue: DFWKDATASUL-4723)

Nota
titleNota

As propriedades abaixo presentes no produto DTS4THF foram descontinuadas para o uso no modelo DSS.

PropriedadeDescrição
totvs.jwt.audience.extIdentificador da audiência quando utilizado o acesso por servidor externo
totvs.jwt.cert.aliasAlias para decodifcação do token JWT (utilizado quando existir um certificado próprio)
totvs.jwt.cert.aliasdefaultAlias padrão para decodificação do token JWT
totvs.jwt.cert.defaultCertificado padrão para decodificação do token JWT

Após a inicialização do mesmo, estará disponível tanto a interface da tela de login (front-end) quanto o serviço de autenticação dos usuários (back-end). 

06. ANEXOS

RFC000032 - Autenticação Aplicações On-Premises (RASCUNHO)

View file
nameRFC000032.pdf
height250


app.component.ts do front-end para recebimento do localStorage

View file
nameapp.component.ts
height250