Aceder a APIs Protegidas por OAuth 2.0

OAuth 2.0 é uma estrutura de autorização que permite aos utilizadores conceder a aplicações de terceiros permissão para aceder a serviços em seu nome, eliminando a necessidade de introdução repetitiva de credenciais, ao mesmo tempo que garante segurança e flexibilidade.

Este guia demonstra como depurar APIs OAuth 2.0 utilizando o Apidog, com o início de sessão com conta Google como exemplo prático.

Compreender o Fluxo OAuth 2.0

Num cenário típico de OAuth 2.0:

Cliente: O seu website ou aplicação

Servidor de Autorização: O serviço que fornece autenticação (por exemplo, Google)

Servidor de Recursos: O serviço que aloja recursos protegidos

Pré-requisitos

Antes de testar APIs OAuth 2.0, certifique-se de que tem:

Um cliente OAuth registado no servidor de autorização (por exemplo, Projeto da Google API Console)

Credenciais de ID do cliente e segredo do cliente

URIs de redirecionamento configurados

Se ainda não registou um Projeto da Google API Console, consulte a documentação oficial para criar um novo cliente OAuth.

Fluxo de Autorização OAuth 2.0

Passo 1: Solicitar Autorização do Utilizador

Quando um utilizador clica no botão "Iniciar sessão com Google", o seu website envia um pedido ao servidor de autorização OAuth 2.0 da Google para obter permissão para aceder à conta Google do utilizador.

O pedido de autorização é enviado para https://accounts.google.com/o/oauth2/v2/auth/ com os seguintes parâmetros:

Parâmetro	Obrigatório	Descrição
`client_id`	Obrigatório	O ID do cliente da sua aplicação a partir da página de Credenciais da API Console
`redirect_uri`	Obrigatório	Para onde o servidor da API redireciona o utilizador após a autorização. Deve corresponder exatamente a um dos URIs de redirecionamento autorizados na configuração do seu cliente OAuth 2.0
`response_type`	Obrigatório	Defina como `code` para aplicações de servidor Web receberem um código de autorização
`scope`	Obrigatório	Lista de âmbitos delimitada por espaços que identifica os recursos a que a sua aplicação pode aceder em nome do utilizador
`access_type`	Recomendado	`online` (predefinição) ou `offline`. Utilize `offline` se a sua aplicação precisar de atualizar tokens de acesso quando o utilizador não estiver presente
`state`	Recomendado	Qualquer valor de cadeia para manter o estado entre o seu pedido de autorização e a resposta do servidor de autorização

Esta tabela mostra os parâmetros básicos exigidos pelo Google OAuth 2.0. Estão disponíveis muitos outros parâmetros opcionais para personalizar a experiência do utilizador e a segurança. Consulte a documentação oficial para obter detalhes completos.

Passo 2: O Utilizador Concede Autorização

A Google apresenta um ecrã de consentimento a solicitar permissão para aceder aos recursos especificados.

Resultados possíveis:

O utilizador aprova: A Google envia um token de autorização para o seu servidor Web

O utilizador recusa: A Google envia uma mensagem de erro para o seu servidor Web

Passo 3: Trocar o Código de Autorização por um Token de Acesso

Depois de o utilizador conceder permissão, o código de autorização é incluído na resposta. A resposta aparece na cadeia de consulta:

# Error response
http://example.com/#error=access_denied&state=state_parameter_passthrough_value

# Success response
http://example.com/#state=state_parameter_passthrough_value&access_token=***&token_type=Bearer&expires_in=***&scope=email%20https://www.googleapis.com/auth/userinfo.email%20openid&authuser=0&prompt=consent

Extraia o token de acesso do URL para o utilizar com outros serviços da Google API.

Passo 4: Aceder a Recursos Protegidos

Utilizando a API Openidconnect como exemplo, pode aceder às informações da conta Google do utilizador enviando um pedido com o token de acesso.

Testar no Apidog:

Crie um novo pedido no seu projeto Apidog

Utilize o URL: https://openidconnect.googleapis.com/v1/userinfo?access_token=ACCESS_TOKEN

Substitua ACCESS_TOKEN pelo seu token real

Clique em Enviar

Enviar pedido com token de acesso no Apidog

Passo 5: Receber Informações do Utilizador

A Google verifica a validade do token de acesso e determina o cliente autorizado associado.

Resultados possíveis:

Token válido: A Google responde com as informações do utilizador

Token inválido/expirado: A Google responde com uma mensagem de erro

Resposta bem-sucedida com informações do utilizador

A resposta da API é um objeto JSON que contém as informações da conta Google do utilizador, tais como picture e email. O seu website pode utilizar estes dados para apresentar automaticamente o perfil do utilizador sem introdução manual.

Benefícios de Utilizar o Apidog para Testes OAuth 2.0

Utilizar o Apidog para depurar APIs OAuth 2.0 proporciona:

Visibilidade clara sobre os parâmetros exigidos por processos upstream e downstream

Experiência de desenvolvimento otimizada com gestão visual de parâmetros

Validação do fluxo de trabalho antes de escrever código

Redução do tempo de depuração durante a implementação

Depois de o fluxo de trabalho completo ser executado com êxito no Apidog, os programadores de backend podem escrever código com confiança para concluir o processo de negócio sem precisarem de verificar enquanto desenvolvem.

Referências

Documentação Google OAuth 2.0

📄 Código-fonte de Página Web de Exemplo

HTML:

JavaScript:

Aceder a APIs Protegidas por OAuth 2.0

Compreender o Fluxo OAuth 2.0#

Pré-requisitos#

Fluxo de Autorização OAuth 2.0#

Passo 1: Solicitar Autorização do Utilizador#

Passo 2: O Utilizador Concede Autorização#

Passo 3: Trocar o Código de Autorização por um Token de Acesso#

Passo 4: Aceder a Recursos Protegidos#

Passo 5: Receber Informações do Utilizador#

Benefícios de Utilizar o Apidog para Testes OAuth 2.0#

Referências#

Compreender o Fluxo OAuth 2.0

Pré-requisitos

Fluxo de Autorização OAuth 2.0

Passo 1: Solicitar Autorização do Utilizador

Passo 2: O Utilizador Concede Autorização

Passo 3: Trocar o Código de Autorização por um Token de Acesso

Passo 4: Aceder a Recursos Protegidos

Passo 5: Receber Informações do Utilizador

Benefícios de Utilizar o Apidog para Testes OAuth 2.0

Referências