Pockit
Back

OAuth 2.0 e OpenID Connect: O Guia Definitivo para Desenvolvedores

Se vocĆŖ jĆ” implementou o "Entrar com Google" ou acessou uma API em nome de um usuĆ”rio, vocĆŖ jĆ” esbarrou no OAuth 2.0. Apesar de estar em todo lugar, ainda Ć© um dos assuntos que mais confunde a galera no desenvolvimento web. Termos como "Implicit Flow", "Bearer Token" e "OIDC" sĆ£o jogados pra todo lado, causando confusĆ£o e, pior, brechas de seguranƧa.

Este guia veio para ser o recurso definitivo para vocĆŖ entender OAuth 2.0 e OpenID Connect (OIDC), focando no que vocĆŖ realmente precisa saber para construir aplicaƧƵes seguras.

AutenticaĆ§Ć£o vs. AutorizaĆ§Ć£o

Antes de mergulhar nos protocolos, precisamos separar dois conceitos fundamentais:

  • AutenticaĆ§Ć£o (AuthN): Quem Ć© vocĆŖ? (ex: verificar a identidade do usuĆ”rio).
  • AutorizaĆ§Ć£o (AuthZ): O que vocĆŖ pode fazer? (ex: dar permissĆ£o de acesso a um recurso).

OAuth 2.0 Ć© um protocolo para autorizaĆ§Ć£o. Ele permite que uma aplicaĆ§Ć£o acesse recursos hospedados por outro servidor em nome de um usuĆ”rio.
OpenID Connect (OIDC) Ć© uma camada construĆ­da em cima do OAuth 2.0 especificamente para autenticaĆ§Ć£o. Ele permite que os clientes verifiquem a identidade do usuĆ”rio.

Os PapƩis (Roles)

Para entender os fluxos, vocĆŖ precisa conhecer os jogadores:

  1. Resource Owner (Dono do Recurso): O usuĆ”rio (vocĆŖ).
  2. Client (Cliente): A aplicaĆ§Ć£o tentando acessar a conta do usuĆ”rio (ex: um web app).
  3. Authorization Server (Servidor de AutorizaĆ§Ć£o): O servidor que mostra a tela de login e emite os tokens (ex: Google, Auth0).
  4. Resource Server (Servidor de Recursos): A API que hospeda os dados do usuƔrio.

Os Tokens

OAuth e OIDC dependem muito de tokens. Entender a diferenƧa Ʃ crucial.

Access Token (Token de Acesso)

Essa Ʃ a chave do castelo. O cliente envia esse token para o Servidor de Recursos para acessar os dados. Geralmente Ʃ um JWT (JSON Web Token), mas tambƩm pode ser uma string opaca.

  • PropĆ³sito: AutorizaĆ§Ć£o.
  • PĆŗblico: Servidor de Recursos.

ID Token (Apenas OIDC)

Esse token contĆ©m informaƧƵes sobre o usuĆ”rio (nome, email, foto). Ɖ estritamente para o Cliente identificar o usuĆ”rio.

  • PropĆ³sito: AutenticaĆ§Ć£o.
  • PĆŗblico: Cliente.
  • Formato: Sempre um JWT.

Refresh Token (Token de AtualizaĆ§Ć£o)

Um token de longa duraĆ§Ć£o usado para obter novos Access Tokens quando o atual expira. Isso permite que o usuĆ”rio continue logado sem ter que digitar a senha de novo.

Dica: Debugar JWTs pode ser uma dor de cabeƧa. Use o Decodificador JWT do Pockit para inspecionar o cabeƧalho e o payload dos seus tokens com seguranƧa, sem que eles saiam do seu navegador.

Fluxos Comuns (Grant Types)

O "Grant Type" determina como o cliente consegue o Access Token. Escolher o errado Ʃ um risco de seguranƧa comum.

1. Authorization Code Flow (com PKCE)

Melhor para: Apps server-side, SPAs e Apps mobile.
Esse Ć© o padrĆ£o ouro. Em vez de pegar um token direto, o cliente pega um "cĆ³digo" temporĆ”rio que troca por um token. PKCE (Proof Key for Code Exchange) adiciona uma camada de seguranƧa, prevenindo ataques de interceptaĆ§Ć£o de cĆ³digo.

  1. O cliente redireciona o usuĆ”rio para o Servidor de AutorizaĆ§Ć£o.
  2. O usuƔrio faz login e aprova o acesso.
  3. O Servidor de AutorizaĆ§Ć£o redireciona de volta para o Cliente com um code.
  4. O cliente troca o code + code_verifier por um Access Token.

2. Client Credentials Flow

Melhor para: ComunicaĆ§Ć£o MĆ”quina a MĆ”quina (M2M).
Usado quando uma aplicaĆ§Ć£o precisa acessar seus prĆ³prios recursos, nĆ£o os de um usuĆ”rio. NĆ£o tem interaĆ§Ć£o do usuĆ”rio.

  1. O cliente envia client_id e client_secret para o Servidor de AutorizaĆ§Ć£o.
  2. O Servidor de AutorizaĆ§Ć£o retorna um Access Token.

3. Implicit Flow (Obsoleto)

Melhor para: Nada (Historicamente usado para SPAs).
Esse fluxo retorna tokens direto na URL. Agora Ć© considerado inseguro devido ao risco de vazamento de tokens no histĆ³rico do navegador e logs. NĆ£o use isso.

Resolvendo Problemas Comuns

"redirect_uri_mismatch"

Esse Ć© o erro mais comum. A redirect_uri que vocĆŖ envia na requisiĆ§Ć£o deve bater exatamente com uma das URIs permitidas no painel do seu provedor OAuth. AtĆ© uma barra no final faz diferenƧa.

"invalid_grant"

Esse erro genƩrico geralmente significa:

  • O cĆ³digo de autorizaĆ§Ć£o expirou (eles duram pouco).
  • O cĆ³digo jĆ” foi usado.
  • A redirect_uri usada para pegar o cĆ³digo nĆ£o bate com a usada para trocar.

ConclusĆ£o

OAuth 2.0 e OIDC sĆ£o ferramentas poderosas que formam a espinha dorsal da identidade moderna. Entendendo a distinĆ§Ć£o entre AuthN e AuthZ, escolhendo o fluxo certo (Auth Code com PKCE!), e sabendo como inspecionar seus tokens, vocĆŖ pode construir aplicaƧƵes seguras e robustas.

NĆ£o invente sua prĆ³pria criptografia, e nĆ£o tente reinventar a autenticaĆ§Ć£o. Siga os padrƵes, e seus usuĆ”rios (e seu time de seguranƧa) vĆ£o agradecer.

oauthsecurityauthenticationweb-developmentdeep-dive

Explore ferramentas relacionadas

Experimente estas ferramentas gratuitas do Pockit

Organizador de PƔginas PDF
Reordene, exclua e gire pĆ”ginas PDF com arrastar e soltar. Editor PDF online grĆ”tis para reorganizar documentos instantaneamente. Sem instalaĆ§Ć£o, 100% seguro no seu navegador.
Experimentar
Imagem para PDF
Transforme fotos em documentos portĆ”teis. Combine mĆŗltiplas imagens em um Ćŗnico PDF com privacidadeā€”todo o processamento ocorre no seu navegador.
Experimentar
Conversor Base64
Transmita dados seguros. Codifique e decodifique texto ou arquivos em Base64 sem que a informaĆ§Ć£o saia do seu navegador. Privacidade garantida para devs.
Experimentar
Gerador Hash
Proteja seus dados. Gere hashes (MD5, SHA-256) de qualquer texto de forma segura no seu navegador. Verifique integridade sem riscos.
Experimentar
Formatador SQL
SQL limpo e profissional. Formate e embeleze suas consultas SQL automaticamente. Melhore a legibilidade e manutenĆ§Ć£o do seu cĆ³digo.
Experimentar
Formatador YAML
ConfiguraƧƵes sem dor de cabeƧa. Valide e formate arquivos YAML complexos com precisĆ£o. Evite erros de deploy antes que aconteƧam.
Experimentar