Cenário do usuário de OAuth

Visão Geral do Cenário

Neste cenário, Alice é um usuário de um aplicativo. Alice pode conceder permissão para um aplicativo acessar informações específicas sobre Alice em um sistema de terceiro que esteja usando OAuth. Dependendo do tipo de OAuth que é suportado pelo serviço de destino, Alice não insere seu nome de usuário e senha no aplicativo. Em vez disso, o aplicativo recebe um token de acesso que representa suas credenciais (nome do usuário e senha). O aplicativo agora pode acessar as informações sobre Alice no sistema de destino.

Por exemplo, Alice mantém uma lista de livros que ela lê em um serviço fornecido por mybooks.com. Após a compra de um smartphone, Alice instala um aplicativo em seu novo telefone para exibir os detalhes do livro. O aplicativo do telefone deseja chamar uma API fornecida por mybooks.com, a qual pode acessar as informações. A API de mybooks.com é protegida usando o protocolo OAuth.

Na primeira etapa, o aplicativo geralmente direciona Alice para o provedor do serviço de destino, mybooks.com. Alice fornece o nome de usuário e a senha e dá permissão para que o aplicativo acesse suas informações. É importante que Alice confie que ela está fornecendo suas credenciais ao provedor do serviço de destino e não a um aplicativo proxy não confiável. Por exemplo, verificando se o certificado de segurança do website no qual Alice insere suas credenciais corresponde ao que ela espera do provedor do serviço de destino.

O resultado dessa etapa é o token de acesso que o aplicativo pode usar para chamar a API. O aplicativo, então, gera a solicitação OAuth formatada corretamente. Por exemplo, o cabeçalho de Autorização, ou parâmetros de consulta HTTP, o qual inclui o token de acesso, a chave do consumidor e o método de assinatura que são requeridos pelo OAuth. Esta solicitação de OAuth é usada para chamar a operação de proxy da API.

Cenário em API Connect