This is the Trace Id: 538eb9bd16ea7e2cc9c77697973c8e95
Pular para o conteúdo principal
Segurança da Microsoft

O que é o OAuth?

Saiba o que é o OAuth e como ele é usado para autorizar o acesso entre aplicativos e serviços sem comprometer informações confidenciais.

OAuth explicado

O OAuth é um padrão tecnológico que permite que você autorize um aplicativo ou serviço a entrar em outro sem divulgar informações privadas, como senhas. Se você já recebeu uma mensagem como "Entrar com o Facebook?" ou "Permitir que este aplicativo acesse a sua conta?" você viu o OAuth em ação.

OAuth significa Open Authorization – não autenticação, como às vezes se supõe que seja. A autenticação é um processo que verifica sua identidade. O OAuth envolve sua identidade, mas sua finalidade é conceder permissão para se conectar diretamente a você com diferentes aplicativos e serviços sem exigir que você crie uma nova conta. O OAuth fornece essa simplicidade de experiência, dando a você a opção de autorizar dois aplicativos a compartilharem alguns de seus dados sem revelar suas credenciais. Ele atinge um equilíbrio entre conveniência e segurança.

O OAuth foi projetado para funcionar com o protocolo HTTP. Ele usa tokens de acesso para provar sua identidade e permitir que ela interaja com outro serviço em seu nome. No caso de esse segundo serviço sofrer uma violação de dados, suas credenciais no primeiro serviço permanecerão seguras. O OAuth é um protocolo amplamente adotado e de padrão aberto e a maioria dos desenvolvedores de sites e aplicativos o utiliza.

É importante lembrar que o OAuth não concede a um aplicativo ou serviço de terceiros acesso ilimitado aos seus dados. Parte do protocolo é especificar quais dados o terceiro tem permissão para acessar e o que ele pode fazer com esses dados. Definir essas limitações e proteger identidades em geral é especialmente crítico em cenários de negócios em que muitas pessoas têm acesso a uma infinidade de informações confidenciais e proprietárias.


 

Como funciona o OAuth?

Tokens de acesso são o que tornam o OAuth seguro de usar. Um token de acesso é uma parte dos dados que contém informações sobre o usuário e o recurso para o qual o token se destina. Um token também incluirá regras específicas para compartilhamento de dados.

Por exemplo, talvez você queira compartilhar fotos no seu perfil de redes sociais com um aplicativo de edição de fotos, mas só deseja que ele tenha acesso a algumas de suas fotos. Ele também não precisa acessar sua lista de mensagens diretas ou amigos. O token só autoriza o acesso aos dados aprovados. Também pode haver regras que regem quando o aplicativo pode usar esse token – pode ser para um único uso ou para usos recorrentes – e uma data de validade.

O processo OAuth é principalmente uma interação de máquina para máquina, tendo apenas alguns pontos de contato com o usuário. Em alguns cenários, talvez você não precise fornecer sua aprovação porque isso está sendo feito silenciosamente em segundo plano pelo software. Dois exemplos de OAuth disso seriam em um cenário de trabalho empresarial, em que uma plataforma de identidade lida com conexões entre recursos para reduzir o atrito de TI para um grande número de usuários, ou em interações entre alguns dispositivos inteligentes.


 

Exemplos de tecnologia OAuth

Assim como muitas tecnologias que simplificam algo entediante – neste caso, criar contas manualmente em vários aplicativos – o OAuth foi adotado quase universalmente pelos criadores de aplicativos. Ele tem uma ampla variedade de casos de uso para pessoas e empresas.

Para dar um exemplo de OAuth, suponha que você esteja usando o Microsoft Teams como uma ferramenta de colaboração e queira acessar mais informações sobre as pessoas com quem você está trabalhando, dentro e fora da sua organização. Você decide habilitar a integração do LinkedIn para saber mais sobre as pessoas enquanto interage com elas, sem sair do Teams. Em seguida, a Microsoft e o LinkedIn usariam o OAuth para autorizar a vinculação de suas contas à sua identidade da Microsoft.

Outro cenário de uso do OAuth seria baixar um aplicativo de orçamento para ajudar no controle dos seus gastos com alertas e auxílios visuais, como grafos. Para fazer o seu trabalho, o aplicativo precisaria ter acesso a alguns dos seus dados bancários. Você pode iniciar uma solicitação para vincular sua conta bancária ao aplicativo, autorizando apenas o acesso ao saldo e às transações da sua conta. O aplicativo e o seu banco usariam o OAuth para fazer essa troca de informações em seu nome sem revelar suas credenciais de entrada bancária para o aplicativo.

Outro exemplo de OAuth seria se você fosse um desenvolvedor usando o GitHub e ficasse sabendo que há um aplicativo de terceiros disponível que pode se integrar à sua conta para executar revisões de código automatizadas. Você acessaria o GitHub Marketplace e baixaria o aplicativo. Em seguida, ele solicitaria que você autorizasse uma conexão com o aplicativo usando sua identidade do GitHub — um processo que seria tratado usando o OAuth. O aplicativo de revisão pode acessar seu código sem que você precise entrar em ambos os serviços sempre.

Qual é a diferença entre o OAuth 1.0 e o OAuth 2.0?

O OAuth 1.0 original foi desenvolvido somente para sites. Ele não é amplamente usado hoje porque o OAuth 2.0 foi projetado para aplicativos e sites, além de ser mais rápido e fácil de implementar. O OAuth 1.0 não pode ser escalado como o OAuth 2.0, e tem apenas três fluxos de autorização possíveis em comparação com os seis do OAuth 2.0.

Se você estiver planejando usar o OAuth, é melhor usar a versão 2.0 desde o início. Infelizmente, o OAuth 1.0 não pode ser atualizado para o OAuth 2.0. O OAuth 2.0 foi projetado como uma reformulação radical do OAuth 1.0 e várias grandes empresas de tecnologia contribuíram com comentários para a criação do seu design. Um site pode dar suporte a OAuth 1.0 e OAuth 2.0, mas os criadores pretendiam que o 2.0 substituísse completamente o 1.0.

OAuth vs. OIDC

O OAuth e o Open ID Connect (OIDC) são protocolos intimamente relacionados. Eles são semelhantes, pois ambos desempenham um papel em dar a um aplicativo acesso aos recursos de outro aplicativo em nome de um usuário. A diferença é que, embora o OAuth seja usado para autorização para acessar recursos, o OIDC é usado para autenticação da identidade de uma pessoa. Ambos desempenham a função de permitir que dois aplicativos não relacionados compartilhem informações sem comprometer os dados do usuário.

Os provedores de identidade normalmente usam o OAuth 2.0 e o OIDC juntos. O OIDC foi desenvolvido especificamente para aprimorar os recursos do OAuth 2.0 adicionando uma camada de identidade a ele. Como ele é criado com base no OAuth 2.0, o OIDC não é compatível com o OAuth 1.0.

 

Introdução ao OAuth

O uso do OAuth 2.0 com seus sites e aplicativos pode melhorar drasticamente as experiências de usuários ou funcionários simplificando o processo de autenticação de identidade. Para começar, invista em uma solução de provedor de identidade, como o Microsoft Entra, que protege usuários e dados com segurança interna

O Microsoft Entra ID (anteriormente Active Directory do Azure) dá suporte a todos os fluxos do OAuth 2.0. Os desenvolvedores de aplicativos podem usar o ID como um provedor de autenticação baseado em padrões para ajudar a integrar funcionalidades de identidade moderna em escala empresarial em aplicativos. Os administradores de TI podem usá-lo para controlar o acesso.

Saiba mais sobre a segurança da Microsoft

  • Explorar o Microsoft Entra

    Proteja identidades e proteja o acesso entre nuvens com uma família holística de soluções.

    Saiba mais

  • Microsoft Entra ID (antigo Active Directory do Azure)

    Proteja o acesso a recursos e dados usando uma autenticação forte e políticas de acesso adaptativas baseadas em riscos.

    Saiba mais

  • Crie confiança em seus aplicativos

    Implemente o SSO para que os funcionários possam acessar todos os recursos necessários com uma credencial.

    Saiba mais

  • Simplifique as experiências de entrada

    Implemente o SSO para que os funcionários possam acessar todos os recursos de que precisam com uma única identidade.

    Saiba mais

  • Proteger contra ataques

    Use a autenticação multifator para melhorar a proteção para os recursos da sua organização.

    Saiba mais

  • Usar o OAuth para simplificar o acesso aos dados de email

    Saiba como autenticar conexões com aplicativos usando protocolos herdados.

    Leia mais

 

 

Perguntas Frequentes

  • OAuth significa Open Authorization e é um padrão tecnológico que permite que você autorize um aplicativo ou serviço a entrar em outro sem divulgar informações privadas, como senhas. Quando um aplicativo solicita autorização para ver suas informações de perfil, ele está usando o OAuth.

  • O OAuth funciona trocando tokens de acesso – partes de dados que contêm informações sobre o usuário e o recurso para o qual o token se destina. Um aplicativo ou site troca informações criptografadas com outro sobre um usuário e inclui regras específicas para compartilhamento de dados. Também pode haver regras para quando o aplicativo pode usar esse token e uma data de validade. O processo do OAuth é principalmente uma interação de máquina para máquina com apenas alguns pontos de contato com o usuário, se houver

  • Muitas empresas usam o OAuth para simplificar o acesso a aplicativos e sites de terceiros sem divulgar senhas ou dados confidenciais de seus usuários. Google, Amazon, Microsoft, Facebook e Twitter o usam para compartilhar informações sobre suas contas para uma ampla variedade de finalidades, incluindo a simplificação de compras. A plataforma de identidade da Microsoft usa o OAuth para autorizar permissões para contas corporativas e de estudante, contas pessoais, contas de rede social e contas de jogos.

  • O OAuth e o Open ID Connect (OIDC) são protocolos intimamente relacionados. Eles são semelhantes, pois ambos desempenham um papel em dar a um aplicativo acesso aos recursos de outro aplicativo em nome de um usuário. No entanto, a diferença é que o OAuth é usado para autorização para acessar recursos, enquanto o OIDC é usado para autenticação da identidade de uma pessoa. Ambos desempenham um papel em permitir que dois aplicativos não relacionados compartilhem informações sem comprometer os dados do usuário.

  • Há muitas diferenças entre o OAuth 1.0 e o OAuth 2.0 porque o OAuth 2.0 foi projetado para ser uma reformulação radical do OAuth 1.0, tornando-o quase obsoleto. O OAuth 1.0 foi desenvolvido somente para sites, enquanto o OAuth 2.0 foi projetado para aplicativos e sites. O OAuth 2.0 é mais rápido e fácil de implementar, pode ser escalado e tem seis fluxos de autorização possíveis em comparação com os três do OAuth 1.0.

Siga o Microsoft 365