OAuth 2.0

También conocido como: OAuth2

Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.

OAuth 2.0 separa al propietario del recurso (usuario), el cliente (aplicación), el servidor de autorización (emite tokens) y el servidor de recursos (aloja la API). El cliente obtiene un token de acceso mediante un flujo definido —código de autorización con PKCE para apps interactivas, credenciales de cliente para llamadas entre servicios, device code para dispositivos sin teclado— y después invoca la API con ese token, normalmente como bearer. Los scopes y la audience limitan lo que el token puede hacer. OAuth 2.0 es la base de OpenID Connect, del acceso a APIs en la nube y de los botones de "Iniciar sesión con…". Errores frecuentes son usar implicit grant, omitir PKCE, validar mal la redirect URI o guardar tokens sin protección.

Ejemplos

Una app móvil obtiene un token con authorization code + PKCE para llamar a una API bancaria.
Un servicio backend usa client credentials para publicar eventos en una API externa.

OAuth 2.0

Ejemplos

Términos relacionados

OpenID Connect (OIDC)

Autorización

Autenticación

Inicio de sesión único (SSO)

Identidad federada

API Security

Definición

Ejemplos

Términos relacionados

OpenID Connect (OIDC)

Autorización

Autenticación

Inicio de sesión único (SSO)

Identidad federada

API Security