OAuth 2.0
O que é OAuth 2.0?
OAuth 2.0Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
O OAuth 2.0 separa o dono do recurso (utilizador), o cliente (aplicação), o servidor de autorização (emite tokens) e o servidor de recursos (aloja a API). O cliente obtém um token de acesso através de um fluxo definido — authorization code com PKCE para aplicações interativas, client credentials para chamadas serviço-a-serviço, device code para dispositivos sem entrada — e invoca a API com esse token, normalmente em modo bearer. Os scopes e a audience delimitam o que o token pode fazer. OAuth 2.0 é a base do OpenID Connect, do acesso a APIs cloud e dos botões "Iniciar sessão com…". Erros comuns incluem usar implicit grant, omitir PKCE, validar mal o redirect URI ou guardar tokens de forma insegura.
● Exemplos
- 01
Uma app móvel obtém um token via authorization code + PKCE para chamar uma API bancária.
- 02
Um serviço de backend usa client credentials para publicar eventos numa API externa.
● Perguntas frequentes
O que é OAuth 2.0?
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais. Pertence à categoria Identidade e acesso da cibersegurança.
O que significa OAuth 2.0?
Framework aberto de autorização que permite ao dono de um recurso conceder a uma aplicação terceira acesso limitado a uma API sem partilhar credenciais.
Como se defender contra OAuth 2.0?
As defesas contra OAuth 2.0 costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para OAuth 2.0?
Nomes alternativos comuns: OAuth2.