Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Português
Entry № 092

Autorização

Revisado porCybersecurity entrepreneur & security researcher

O que é Autorização?

AutorizaçãoProcesso que decide o que uma identidade já autenticada pode fazer — que recursos, ações e condições lhe são permitidos.

A autorização (AuthZ) ocorre após a autenticação: depois de um utilizador, serviço ou dispositivo provar quem é, o sistema tem de decidir se essa identidade pode executar a ação solicitada sobre um recurso específico. As decisões podem basear-se em papéis (RBAC), atributos e políticas (ABAC), classificações (MAC) ou no critério do proprietário (DAC), e são normalmente aplicadas por um policy decision point que avalia o sujeito, o recurso, a ação e o ambiente, com um policy enforcement point a controlar o pedido. As arquiteturas modernas externalizam a política com normas como os scopes de OAuth 2.0 (RFC 6749), os claims de OpenID Connect, XACML ou Rego/Open Policy Agent (OPA), mantendo as regras fora do código da aplicação.

A autorização é o controlo mais propenso a falhas em toda a web. A OWASP classificou o controlo de acesso quebrado (Broken Access Control) como A01 — o risco número 1 — no seu Top 10 de 2021, encontrado em 94 % das aplicações testadas, uma posição que mantém na edição de 2025. A falha clássica é o IDOR (Insecure Direct Object Reference): alterar um id numérico numa URL ou chamada de API para ler dados de outro inquilino. Em 2022, a violação da Optus na Austrália expôs os registos de cerca de 10 milhões de clientes através de um endpoint de API não autenticado e enumerável, e o IDOR do Instagram em 2019 expôs publicações e stories privadas.

Uma classe mais subtil é o confused deputy, em que um componente com mais privilégios é enganado para abusar da sua autoridade em benefício do atacante — a raiz conceptual de CSRF e SSRF. Defesas: negar por omissão, aplicar a autorização no servidor em cada pedido (nunca confiar no cliente), verificar a propriedade do objeto e não apenas a autenticação, preferir identificadores não adivinháveis, registar as decisões de acesso e testar continuamente a escalada de privilégios horizontal e vertical.

flowchart LR
  U[Pedido autenticado] --> PEP[Policy Enforcement Point]
  PEP --> PDP[Policy Decision Point]
  CTX[Sujeito recurso acao ambiente] --> PDP
  POL[(Politica RBAC ABAC Rego)] --> PDP
  PDP -->|Permitir| R[Aceder ao recurso]
  PDP -->|Negar| X[403 Forbidden e registo de auditoria]

Exemplos

  1. 01

    Conceder a um agente de suporte acesso só de leitura aos tickets de clientes, mas não aos dados de faturação.

  2. 02

    Tokens de acesso OAuth 2.0 emitidos com scopes restritos como "orders:read".

Perguntas frequentes

O que é Autorização?

Processo que decide o que uma identidade já autenticada pode fazer — que recursos, ações e condições lhe são permitidos. Pertence à categoria Identidade e acesso da cibersegurança.

O que significa Autorização?

Processo que decide o que uma identidade já autenticada pode fazer — que recursos, ações e condições lhe são permitidos.

Como se defender contra Autorização?

As defesas contra Autorização costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Autorização?

Nomes alternativos comuns: AuthZ, Controlo de acesso.

Termos relacionados

Ver também