## JWT (JSON Web Token) para APIs  
Muito usado em Flask, FastAPI e outros frameworks para APIs REST:

Fluxo:

Usu√°rio faz login ‚Üí servidor gera um token JWT.

Token √© enviado pelo cliente em cada requisi√ß√£o (header Authorization).

Servidor valida assinatura e permiss√µes antes de responder.

Vantagens:

Stateless (n√£o precisa manter sess√£o no servidor).

Escal√°vel para microsservi√ßos.

Bibliotecas: PyJWT, flask-jwt-extended, fastapi-jwt-auth.

In [1]:
%pip install fastapi

Collecting fastapi
  Downloading fastapi-0.116.1-py3-none-any.whl.metadata (28 kB)
Collecting starlette<0.48.0,>=0.40.0 (from fastapi)
  Downloading starlette-0.47.3-py3-none-any.whl.metadata (6.2 kB)
Collecting pydantic!=1.8,!=1.8.1,!=2.0.0,!=2.0.1,!=2.1.0,<3.0.0,>=1.7.4 (from fastapi)
  Downloading pydantic-2.11.9-py3-none-any.whl.metadata (68 kB)
Collecting annotated-types>=0.6.0 (from pydantic!=1.8,!=1.8.1,!=2.0.0,!=2.0.1,!=2.1.0,<3.0.0,>=1.7.4->fastapi)
  Using cached annotated_types-0.7.0-py3-none-any.whl.metadata (15 kB)
Collecting pydantic-core==2.33.2 (from pydantic!=1.8,!=1.8.1,!=2.0.0,!=2.0.1,!=2.1.0,<3.0.0,>=1.7.4->fastapi)
  Downloading pydantic_core-2.33.2-cp311-cp311-win_amd64.whl.metadata (6.9 kB)
Collecting typing-inspection>=0.4.0 (from pydantic!=1.8,!=1.8.1,!=2.0.0,!=2.0.1,!=2.1.0,<3.0.0,>=1.7.4->fastapi)
  Using cached typing_inspection-0.4.1-py3-none-any.whl.metadata (2.6 kB)
Collecting anyio<5,>=3.6.2 (from starlette<0.48.0,>=0.40.0->fastapi)
  Downloading anyio-4


[notice] A new release of pip is available: 24.2 -> 25.2
[notice] To update, run: C:\Users\belch\AppData\Local\Microsoft\WindowsApps\PythonSoftwareFoundation.Python.3.11_qbz5n2kfra8p0\python.exe -m pip install --upgrade pip


In [3]:
%pip install jwt

Collecting jwt
  Downloading jwt-1.4.0-py3-none-any.whl.metadata (3.9 kB)
Collecting cryptography!=3.4.0,>=3.1 (from jwt)
  Downloading cryptography-45.0.7-cp311-abi3-win_amd64.whl.metadata (5.7 kB)
Collecting cffi>=1.14 (from cryptography!=3.4.0,>=3.1->jwt)
  Downloading cffi-2.0.0-cp311-cp311-win_amd64.whl.metadata (2.6 kB)
Collecting pycparser (from cffi>=1.14->cryptography!=3.4.0,>=3.1->jwt)
  Downloading pycparser-2.23-py3-none-any.whl.metadata (993 bytes)
Downloading jwt-1.4.0-py3-none-any.whl (18 kB)
Downloading cryptography-45.0.7-cp311-abi3-win_amd64.whl (3.4 MB)
   ---------------------------------------- 0.0/3.4 MB ? eta -:--:--
   ---------------------------------------- 3.4/3.4 MB 20.1 MB/s eta 0:00:00
Downloading cffi-2.0.0-cp311-cp311-win_amd64.whl (182 kB)
Downloading pycparser-2.23-py3-none-any.whl (118 kB)
Installing collected packages: pycparser, cffi, cryptography, jwt
Successfully installed cffi-2.0.0 cryptography-45.0.7 jwt-1.4.0 pycparser-2.23
Note: you may need 


[notice] A new release of pip is available: 24.2 -> 25.2
[notice] To update, run: C:\Users\belch\AppData\Local\Microsoft\WindowsApps\PythonSoftwareFoundation.Python.3.11_qbz5n2kfra8p0\python.exe -m pip install --upgrade pip


In [None]:
from fastapi import FastAPI, Depends, HTTPException
from fastapi.security import OAuth2PasswordBearer
import jwt
from datetime import datetime, timedelta

# Configura√ß√µes
SECRET_KEY = "chave_super_secreta"
ALGORITHM = "HS256"
ACCESS_TOKEN_EXPIRE_MINUTES = 30

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

# Fun√ß√£o para criar token
def criar_token(dados: dict):
    to_encode = dados.copy()
    expire = datetime.utcnow() + timedelta(minutes=ACCESS_TOKEN_EXPIRE_MINUTES)
    to_encode.update({"exp": expire})
    return jwt.encode(to_encode, SECRET_KEY, algorithm=ALGORITHM)

# Endpoint para login (gera token)
@app.post("/token")
def login(username: str, password: str):
    # Aqui voc√™ validaria o usu√°rio no banco
    if username != "admin" or password != "123":
        raise HTTPException(status_code=401, detail="Credenciais inv√°lidas")
    token = criar_token({"sub": username})
    return {"access_token": token, "token_type": "bearer"}

# Fun√ß√£o para validar token
def validar_token(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=[ALGORITHM])
        return payload
    except jwt.ExpiredSignatureError:
        raise HTTPException(status_code=401, detail="Token expirado")
    except jwt.InvalidTokenError:
        raise HTTPException(status_code=401, detail="Token inv√°lido")

# Rota protegida
@app.get("/protegido")
def protegido(usuario: dict = Depends(validar_token)):
    return {"mensagem": f"Bem-vindo, {usuario['sub']}!"}


## OAuth 2.0 e OpenID Connect
Para autentica√ß√£o via provedores externos (Google, GitHub, Facebook, etc.):

OAuth 2.0: delega autentica√ß√£o a outro servi√ßo.

OpenID Connect: extens√£o do OAuth para obter informa√ß√µes do usu√°rio autenticado.

Bibliotecas: authlib, python-social-auth.

üìå Ideal para: quando n√£o quer gerenciar credenciais diretamente.

In [2]:
%pip install requests_oauthlib

Collecting requests_oauthlib
  Using cached requests_oauthlib-2.0.0-py2.py3-none-any.whl.metadata (11 kB)
Collecting oauthlib>=3.0.0 (from requests_oauthlib)
  Downloading oauthlib-3.3.1-py3-none-any.whl.metadata (7.9 kB)
Using cached requests_oauthlib-2.0.0-py2.py3-none-any.whl (24 kB)
Downloading oauthlib-3.3.1-py3-none-any.whl (160 kB)
Installing collected packages: oauthlib, requests_oauthlib
Successfully installed oauthlib-3.3.1 requests_oauthlib-2.0.0
Note: you may need to restart the kernel to use updated packages.



[notice] A new release of pip is available: 24.2 -> 25.2
[notice] To update, run: C:\Users\belch\AppData\Local\Microsoft\WindowsApps\PythonSoftwareFoundation.Python.3.11_qbz5n2kfra8p0\python.exe -m pip install --upgrade pip


In [None]:
from requests_oauthlib import OAuth2Session

# Configura√ß√µes do cliente (obtidas no console do provedor OAuth)
CLIENT_ID = "sua_client_id"
CLIENT_SECRET = "sua_client_secret"
AUTHORIZATION_BASE_URL = "https://github.com/login/oauth/authorize"
TOKEN_URL = "https://github.com/login/oauth/access_token"
REDIRECT_URI = "http://localhost:5000/callback"

# Escopos de acesso
SCOPE = ["read:user", "user:email"]

# 1Ô∏è‚É£ Criar sess√£o OAuth2
oauth = OAuth2Session(CLIENT_ID, redirect_uri=REDIRECT_URI, scope=SCOPE)

# 2Ô∏è‚É£ Obter URL de autoriza√ß√£o e redirecionar o usu√°rio
authorization_url, state = oauth.authorization_url(AUTHORIZATION_BASE_URL)
print("Acesse este link para autorizar:", authorization_url)

# 3Ô∏è‚É£ Ap√≥s o login, o provedor redireciona para REDIRECT_URI com um c√≥digo
redirect_response = input("Cole aqui a URL de redirecionamento: ")

# 4Ô∏è‚É£ Trocar o c√≥digo pelo token de acesso
token = oauth.fetch_token(
    TOKEN_URL,
    authorization_response=redirect_response,
    client_secret=CLIENT_SECRET
)

print("Token de acesso:", token)

# 5Ô∏è‚É£ Usar o token para acessar recursos protegidos
resp = oauth.get("https://api.github.com/user")
print("Dados do usu√°rio:", resp.json())


## Controle de acesso baseado em fun√ß√µes (RBAC) e atributos (ABAC)
RBAC: permiss√µes atribu√≠das a fun√ß√µes (roles), e fun√ß√µes atribu√≠das a usu√°rios.

ABAC: permiss√µes baseadas em atributos do usu√°rio, recurso ou contexto.

Pode ser implementado com bibliotecas como casbin ou usando o pr√≥prio sistema de permiss√µes do Django.

## Principais falhas de seguran√ßa conhecidas
1. Valida√ß√£o incorreta do redirect_uri  
Permitir wildcards ou correspond√™ncias parciais no redirect_uri pode permitir que um invasor redirecione o token para um dom√≠nio malicioso.  
Mitiga√ß√£o: exigir correspond√™ncia exata e pr√©-cadastro de URLs confi√°veis.

2. Aus√™ncia ou uso incorreto do par√¢metro state  
O state serve como prote√ß√£o contra CSRF no fluxo OAuth.
Se n√£o for usado ou validado, um atacante pode iniciar um fluxo OAuth e associar a conta da v√≠tima ao seu pr√≥prio perfil.  
Mitiga√ß√£o: sempre gerar e validar state de forma imprevis√≠vel.

3. Exposi√ß√£o de tokens no front-end  
Fluxos inseguros (como o Implicit Flow) podem expor tokens no fragmento da URL, facilitando o roubo via hist√≥rico do navegador ou logs.  
Mitiga√ß√£o: preferir o Authorization Code Flow com PKCE.

4. Falta de valida√ß√£o do access_token  
Usar tokens sem verificar se foram emitidos para o client_id correto ou se o escopo corresponde ao esperado pode permitir acesso indevido.  
Mitiga√ß√£o: validar emissor, p√∫blico, escopo e expira√ß√£o.

1. Configura√ß√£o fraca do servidor OAuth  
Falta de HTTPS, chaves de assinatura fracas ou endpoints expostos podem comprometer todo o fluxo.  
Mitiga√ß√£o: usar TLS, rota√ß√£o de chaves e hardening do servidor.

6. Phishing via p√°ginas de autoriza√ß√£o falsas  
Usu√°rios podem ser enganados a autorizar apps falsos que imitam a tela de login do provedor.  
Mitiga√ß√£o: educar usu√°rios e usar branding oficial com verifica√ß√£o de dom√≠nio.

7. Reuso de c√≥digos de autoriza√ß√£o  
Se um c√≥digo de autoriza√ß√£o puder ser reutilizado, um atacante pode troc√°-lo por tokens adicionais.  
Mitiga√ß√£o: invalidar o c√≥digo imediatamente ap√≥s o uso.