Logo Logo
GitHub Designed by Logto

O que é público (audience)?

No contexto de Autenticação (Authentication) e Autorização (Authorization) , público (audience) é um componente chave que define os destinatários pretendidos de um token de autorização. Referido como a claim aud em JSON Web Token (JWT) , esta claim garante que o token é aceito apenas pelo serviço ou aplicação designada. Tipicamente, a claim de público contém ou o client_id da aplicação para a qual o token é destinado ou um URL representando a API ou recurso que o token está autorizado a acessar. Ao especificar o público, serve como um controle de segurança para prevenir o uso indevido por serviços ou usuários não autorizados.

Como funciona o público (audience)?

Quando um cliente solicita um Token de acesso (Access token) de um authorization server (servidor de autorização), a claim de público é incluída na resposta do token. Este valor de público é então validado pelo resource server (servidor de recursos) quando o token é apresentado. O resource server verifica se a claim de público no token corresponde ao seu próprio identificador ou ao identificador do serviço que está protegendo. Se não corresponder, o token será rejeitado, aumentando a segurança em sistemas distribuídos, particularmente em cenários que envolvem múltiplos microsserviços ou APIs. Ao controlar a claim de público, os desenvolvedores podem garantir que os tokens sejam usados no contexto correto, adicionando uma camada adicional de proteção aos fluxos de authentication (autenticação) e authorization (autorização) da sua aplicação.

  • Solicitante: A aplicação cliente especifica o valor de público ao solicitar um token.
  • Emissor: O authorization server inclui a claim de público na resposta do token.
  • Verificador: O destinatário do token verifica a claim de público contra o seu próprio identificador. Se a claim de público corresponder ao identificador do destinatário, o token é considerado válido. Caso contrário, é rejeitado.

Exemplo de público (audience) em JWT

Claim de público num ID token de OpenID Connect (OIDC)

{
  "header": {
    "alg": "RS256",
    "typ": "JWT",
    "kid": "abc123"
  },
  "payload": {
    "iss": "https://auth.logto.io",
    "sub": "test_user",
    "aud": "client_id_foo",
    "exp": 1516239022,
    "iat": 1516239022,
    "nonce": "n-0S6_WzA2Mj",
    "primary_email": "[email protected]",
    "email_verified": true,
    "username": "foo"
  },
  "signature": "..."
}

Um Token de ID (ID token) em OpenID Connect (OIDC) é um token de segurança que contém informações sobre o usuário autenticado, entregue à aplicação cliente após uma autenticação bem-sucedida. Ao contrário dos access tokens, que são usados para conceder permissão para acessar recursos, os ID tokens são especificamente projetados para transmitir informações de identidade do usuário à parte confiável (cliente). Esses tokens são tipicamente codificados como JWTs e incluem claims como o identificador do usuário (claim sub), o emissor (claim iss) e o público (claim aud), entre outros.

Neste caso, a claim aud especifica o público pretendido para o ID token, que é a aplicação cliente. O valor da claim aud geralmente corresponde ao client_id da aplicação que solicitou o token. Quando a aplicação cliente recebe o ID token, pode verificar a claim de público para garantir que o token foi emitido para seu consumo. Este passo de validação ajuda a prevenir o uso indevido do token e o acesso não autorizado a informações do usuário, melhorando a segurança do processo de autenticação.

Claim de público num access token

{
  "header": {
    "alg": "RS256",
    "typ": "JWT",
    "kid": "abc123"
  },
  "payload": {
    "iss": "https://auth.logto.io",
    "sub": "test_user",
    "aud": "https://example.logto.app/api/users",
    "exp": 1516239022,
    "iat": 1516239022,
    "scope": "read write",
    "client_id": "client_id_foo"
  },
  "signature": "..."
}

Ao contrário do ID token, Token de acesso (Access token) são usados para autorizar o acesso a recursos protegidos, como APIs ou serviços. A claim aud num access token especifica o destinatário pretendido do token, que é tipicamente a API ou serviço que o token está autorizado a acessar. Tipicamente, o resource server que hospeda a API tem um domínio diferente da aplicação cliente que solicitou o token. Neste caso, em vez de um client_id, a claim aud contém o URL do endpoint da API para o qual o token é destinado. Este URL é frequentemente conhecido como o resource indicator ou identificador da API que identifica unicamente o recurso alvo.

Quando o resource server recebe um access token, valida a claim aud para garantir que o token é destinado ao seu consumo. Ao verificar o público, o resource server pode prevenir o acesso não autorizado aos seus recursos e aplicar políticas de access control baseadas no público pretendido do token. Este mecanismo ajuda a proteger dados sensíveis e garante que os access tokens sejam usados no contexto apropriado, melhorando a segurança do sistema como um todo.

FAQs

Por que a claim de público é importante na validação de tokens?

A claim de público é crucial na validação de tokens porque garante que o token seja aceito apenas pelo destinatário pretendido. Ao verificar a claim de público, o destinatário pode prevenir o uso indevido do token e o acesso não autorizado a recursos. Este controle de segurança é particularmente importante em sistemas distribuídos onde múltiplos serviços interagem entre si, pois ajuda a aplicar políticas de access control e proteger dados sensíveis.

Um token pode ter múltiplos públicos?

Por razões de segurança, é recomendado que um token tenha um único público para prevenir ambiguidades e garantir que o token seja usado no contexto correto. No entanto, alguns cenários podem exigir tokens com múltiplos públicos, como quando um token é destinado a múltiplos serviços ou APIs dentro do mesmo domínio. Nesses casos, os desenvolvedores devem considerar cuidadosamente as implicações do uso de tokens com múltiplos públicos e implementar medidas de segurança apropriadas para mitigar riscos potenciais.

O que devo usar como meu identificador de API na claim de público?

Ao especificar a claim de público num access token que representa uma API ou serviço, é recomendado usar um URI absoluto que identifique unicamente o recurso. Este URI pode ser o URL base do endpoint da API ou um caminho específico de recurso que o token está autorizado a acessar. Ao usar um URI como identificador de API, você pode garantir que a claim de público seja inequívoca e represente com precisão o destinatário pretendido do token.