@betha-plataforma/oauth

Biblioteca JavaScript para lidar com o fluxo do OAuth 2.0 em aplicações Web, com suporte a TypeScript.

Atualmente o fluxo suportado é o Implicit, abaixo temos um exemplo de como configurá-lo.

Este fluxo é usado para aplicativos móveis e aplicações web, onde a capacidade de armazenar segredos no cliente não é garantida. Entenda melhor sobre este fluxo neste guia Introdução ao OAuth 2 da Digital Ocean e caso queira entender na prática acesse o OAuth 2.0 Playground.

- Configurações
- Configurando variáveis dos Serviços
- Configurando provedor OAuth
- Configurando Cliente (aplicação)
- Criando instância do OAuth
- Adequando inicialização da aplicação
- Lidando com redirecionamento do Login
- Obtendo token de acesso em segundo plano
- Monitorando eventos de sessão
- Fornecendo feedback ao usuário
- Possibilitando Logout da Conta do Usuário
- Requisições
- Autenticando requisições
- Lidando com requisições que falharam
- Playground

Configurações

Após instalar, algumas configurações são necessárias.

$3

Para realizar as configurações é necessário saber os hosts de alguns serviços, como OAuth, Login e Usuários.

Estes valores podem ser obtidos conforme constam em https://suite.cloud.betha.com.br/env.js

Entretanto sugerimos a importação dessa URL como um script no index.html para que a aplicação possa obter os valores de forma dinâmica por meio da variável window['___bth'].envs. Assim caso em algum momento seja necessário alteração nestes valores, eles serão refletidos automaticamente.

``html











`

> No playground/webpack.config.js é definido uma variável dinamica chamada "envjs" a qual irá preencher a URL nos templates playground/src/index.html e playground/src/auth/callback/callback.html

$3

Com as variáveis dos serviços em mãos, basta criar uma configuração de provedor OAuth.

`js
const OAUTH_URL = window["___bth"].envs.suite.oauth.v1.host;
const SERVICE_LOGIN_URL = window["___bth"].envs.suite["service-login"].v1.host;
const USERS_URL = window["___bth"].envs.suite.usuarios.v1.host;

const provider = {
authorization_endpoint: ${OAUTH_URL}/authorize,
check_session_iframe: ${SERVICE_LOGIN_URL}/openidsso.jsp,
end_session_endpoint: ${SERVICE_LOGIN_URL}/logout?continue=${OAUTH_URL}/authorize?client_id=${config.clientId}%26response_type=token%26redirect_uri=${config.redirectUri}%26scope=${config.scope},
introspect_endpoint: ${OAUTH_URL}/tokeninfo,
token_endpoint: ${OAUTH_URL}/token,
userinfo_endpoint: ${USERS_URL}/api/usuarios/@me,
};
`

> Exemplo em playground/src/auth/oauth-provider.js

$3

Além do provedor também é preciso configurar o cliente, que representa a aplicação que irá consumir os recursos autenticados.

_ℹ️ Atualmente as aplicações clientes são registradas e mantidas pela equipe da Plataforma, caso não possua os dados necessários, favor entrar em contato._

`js
const clientConfig = {
scope: "SCOPES",
clientId: "CLIENT_ID",
redirectUri: ${window.location.origin}/auth/callback.html,
silentRedirectUri: ${window.location.origin}/auth/silent-callback.html,
};
`

Onde:

- scope e clientId são obtidos ao registrar uma aplicação
- redirectUri e silentRedirectUri são os endereços de redirecionamento, que serão abordados mais a frente, nas seções Lidando com redirecionamento do Login e Obtendo novo token de acesso em segundo plano, respectivamente.

> Exemplo em playground/src/auth/oauth-application.js

Criando instância do OAuth

As configurações do cliente e do provedor OAuth podem ser mescladas e utilizadas para criar uma instância do OAuth para a aplicação.

É por meio desta instância que serão realizadas as interações com recursos de autenticação como: login, logout, obter token de acesso, verificar se há sessão ativa, obter dados do usuário, etc.

`js
const OAUTH_URL = window["___bth"].envs.suite.oauth.v1.host;
const SERVICE_LOGIN_URL = window["___bth"].envs.suite["service-login"].v1.host;
const USERS_URL = window["___bth"].envs.suite.usuarios.v1.host;

const oAuthConfig = {
scope: "SCOPES",
clientId: "CLIENT_ID",
redirectUri: ${window.location.origin}/auth/callback.html,
silentRedirectUri: ${window.location.origin}/auth/silent-callback.html,
provider: {
authorization_endpoint: ${OAUTH_URL}/authorize,
check_session_iframe: ${SERVICE_LOGIN_URL}/openidsso.jsp,
end_session_endpoint: ${SERVICE_LOGIN_URL}/logout?continue=${OAUTH_URL}/authorize?client_id=${config.clientId}%26response_type=token%26redirect_uri=${config.redirectUri}%26scope=${config.scope},
introspect_endpoint: ${OAUTH_URL}/tokeninfo,
token_endpoint: ${OAUTH_URL}/token,
userinfo_endpoint: ${USERS_URL}/api/usuarios/@me,
},
};

export const oAuthApp: OAuthApplication = new OAuthApplication(oAuthConfig);
`

> Exemplo em playground/src/auth/oauth-application.js

Adequando inicialização da aplicação

Quando a aplicação for inicializada e não houver uma sessão ativa, deve-se chamar o método login(), disponível na instância do OAuth. Este método irá lidar com os passos necessários para o usuário efetuar o login.

`js
import { oAuthApp } from "./oauth-application.ts";

if (!oAuthApp.hasActiveSession()) {
oAuthApp.login();
} else {
/**
* Iniciar a aplicação, renderizando recursos autenticados
*/
bootstrap();
}
`

> Exemplo em playground/src/index.js

Lidando com redirecionamento do Login

Após o usuário efetuar o login, ele será redirecionado para o redirectUri configurado na instância do OAuth.

Este redirecionamento irá entregar para a aplicação alguns valores por meio de parâmetros da URL. Nesta página a aplicação deverá executar o método handleCallback() da instância do OAuth para prosseguir com o fluxo.

`js
import { oAuthApp } from "./oauth-application.ts";

oAuthApp.handleCallback();
`

> Exemplo em playground/src/auth/callback/callback.html e playground/src/auth/callback/callback.js

Obtendo novo token de acesso em segundo plano

Após autenticado, é possível renovar o token de acesso em segundo plano. Para isso é necessário ter uma página que emita algumas informações para a aplicação de origem. Essa página é configurada no silentRedirectUri ao instanciar a aplicação OAuth.

`html





`

> Exemplo em playground/src/auth/callback/silent-callback.html

Monitorando eventos de sessão

Durante o ciclo de vida de uma sessão alguns eventos provenientes de autenticação podem ser capturados para apresentar um feedback ao usuário.

A captura dos eventos pode ser feita por meio da instância de um Monitor de Eventos, criado a partir da instância do OAuth.

`js
import { OAuthMonitor } from "@betha-plataforma/oauth";
import { oauthApp } from "./oauth-application.ts";

const monitorOptions = {
app: oauthApp,
interval: 1000,
};

const monitor = new OAuthMonitor(monitorOptions, {
onSessionChanged: () => {
// OAuth session changed
},
onSessionEnded: () => {
// OAuth session ended
},
onSessionRestablished: () => {
// OAuth session restabilished
},
});

monitor.start();
`

> Exemplo em playground/src/auth/oauth-monitor.js

$3

O componente recomendado para o feedback é a modal. Ela deve ser utilizada no formato bloqueante, ou seja, não permite fechar por meio da interface ou do teclado. Isto evita que o usuário utilize o sistema que pode estar inoperável por falta de autenticação. Para evitar empilhamento, é sugerido fechar as modais abertas ao receber qualquer evento.

As interfaces apresentadas são modelos baseados no Design System dos sistemas Cloud da Betha. É importante preservar as características do sistema no qual as interfaces serão apresentadas.

_ℹ️ Nos exemplos abaixo foi utilizado o Bootstrap 4, que é um framework bem comum para abstrair o comportamento e estilização dos componentes._

#### Quando a sessão for alterada

Abaixo um modelo de apresentação quando a sessão for alterada

!modal_session_changed

- Ilustração: user-changed.png
- Mensagem: "O usuário lorem.ipsum entrou no sistema"
- Botão: "Atualizar página"

`html
id="session_changed_modal"
class="modal fade"
data-backdrop="static"
data-keyboard="false"
tabindex="-1"
aria-hidden="true"
>