Artigos de Tecnologia e Negócios > Programação

Java & Nexmo: Como fazer Autenticação por Dois Fatores

Guilherme Tadeu
Guilherme Tadeu

Quando um sistema possui informações muito sigilosas, manter somente uma camada de autenticação se torna um grande risco.

Mesmo que tenham sido gerados mecanismos para criação de senhas fortes, ainda há a possibilidade do usuário cair numa Engenharia Social seja por meio de Phishing, Vishing, Keyloggers ou outros Malwares que venham a calhar.

Uma das maneiras de tornar essa prática mais difícil é fazer com que o login passe por dois fatores, onde o primeiro é a senha comum e o segundo é algum objeto pessoal do usuário seja um cartão magnético, uma chave física ou o próprio celular.

Dessa forma, mesmo com a posse da senha o invasor não conseguirá entrar pois não tem posse do tal objeto.

Arquitetura da Solução

Marcelo trabalha numa fábrica de software voltada para telefonia chamada System of a Call. Ele acessa a intranet para atender aos chamados mas percebe que há uma nova atualização: Um Popup é exibido dizendo que as políticas da empresa mudaram e agora é necessário cadastrar seu número de telefone para fazer o Login.

Ele simplesmente insere seu usuário, senha e telefone e ao clicar em login, é exibida uma tela pedindo para digitar um código que foi enviado para o seu aparelho. A nível de teste, ele decide inserir um valor errado, mas o sistema não permite seu acesso.

Ao optar pelo caminho certo, insere o código que lhe foi enviado. O sistema confirma a veracidade do código e exibe uma mensagem de que a partir desse momento todos os logins irão precisar passar por esse processo. Marcelo clica em “OK” e finalmente lhe é exibida a página dos chamados que ele acessa diariamente.

Nesse exemplo dado é possível visualizar como esse tipo de autenticação funciona na visão do usuário. A nível arquitetural, chegamos no seguinte modelo abaixo:

Com a modelagem em mente podemos começar a construir a aplicação.

Preparando ambiente

Na nossa implementação não iremos criar uma aplicação WEB com Spring, nem iremos mapear objetos no banco com Hibernate. Para fins didáticos será feito uma aplicação Console - dessa forma o foco fica no código e não na infraestrutura.

Para enviar uma mensagem ao dispositivo do usuário iremos utilizar uma API do Nexmo. Será necessário um cadastro na plataforma para testarmos de forma gratuita.

Com isso feito, podemos criar um projeto Maven e incluir a seguinte dependência no arquivo pom.xml:

<dependency>
    <groupId>com.nexmo</groupId>
    <artifactId>client</artifactId>
    <version>4.0.1</version>
</dependency>

Após a IDE baixar a biblioteca e buildar o projeto, iremos criar nossa classe cliente.

Do código ao SMS

Dentro de uma classe com o método Main, a primeira coisa que precisamos escrever é o código responsável por inicializar o nosso cliente. Nele será setado as chaves da API - que são geradas para cada usuário e podem ser visualizadas na aba de configuração.

NexmoClient client = new NexmoClient.Builder()
  .apiKey("INSIRA SUA API KEY")
  .apiSecret("INSIRA SUA API SECRET")
  .build();
VerifyClient verifyClient = client.getVerifyClient();

A próxima etapa é testarmos o envio da mensagem. Para isso basta utilizar a classe VerifyRequest onde o primeiro parâmetro é o número de telefone que você usou para se cadastrar no Nexmo e o segundo parâmetro é referente ao nome da sua empresa.

O método setLength representa o tamanho do PIN que você quer enviar para o usuário Ele pode ser 4 ou 6:

VerifyRequest request = new VerifyRequest("SEU TELEFONE", "O NOME DA SUA EMPRESA");
request.setLength(4);

Com a mensagem configurada, agora basta enviarmos a mensagem para o usuário. Para isso executamos o método Verify, que é responsável por fazer o envio e retornar uma resposta que será tratada posteriormente:

VerifyResponse verifyResponse = verifyClient.verify(request);

Validação do Token

A mensagem chegou, o perigo passou? Ainda não... Nossa verificação só estará completa quando verificarmos que o código digitado pelo usuário é o mesmo que foi enviado para ele.

A classe VerifyClient possui um método chamado check que recebe o ID da requisição e o código digitado. Com isso validamos o token verificando o status da resposta:

System.out.println("Digite o Código Recebido: ");

Scanner input = new Scanner(System.in);
String code = input.nextLine();

String requestId = verifyResponse.getRequestId();
CheckResponse checkResponse = verifyClient.check(requestId, code);

if (checkResponse.getStatus() == VerifyStatus.OK) {
    System.out.print("SUCESSO!");
} else {
    System.out.print("ERRO!");
}

Ao executar o programa, uma mensagem será enviada ao celular do usuário informando o nome da empresa e o token para validação conforme foram configurados anteriormente.

Basta o usuário inserir o código recebido para poder ter acesso ao sistema. Caso insira um código incorreto, será exibida uma mensagem de erro.

Conclusão

A autenticação em dois fatores pode ser um forte aliado em sistemas de informações críticas. Nada é 100% seguro, mas essa camada dificulta ainda mais a ação de invasores.

A utilização do Nexmo com o Java fluiu muito bem sendo possível criar uma aplicação diretamente do Console, o que abre horizontes tanto para a Web quanto para o Mobile.

O código que acompanha esse artigo pode ser baixado aqui. Aproveite para implementar outras features como, por exemplo, permitir o usuário digitar mais de uma vez o código caso ele erre na primeira tentativa ou a exibição de um cronômetro para mostrar o tempo de validação do Token. Existem diversas possibilidades.

Para saber mais sobre programação Java, dê uma olhada na Formação Java aqui da Alura!

Artigos de Tecnologia e Negócios > Programação