O standard do «login com X». Flows, tokens, PKCE — e onde a autenticação caseira se torna perigosa.
Categoria · Segurança & Compliance
O standard por detrás do "Iniciar sessão com X".
O OAuth 2.0 é um protocolo de autorização: regula como uma aplicação pode aceder a outra em nome de um utilizador, sem conhecer a palavra-passe deste. O OpenID Connect (OIDC) assenta sobre ele e acrescenta a autenticação — ou seja, a questão de quem o utilizador é, afinal.
No centro estão os flows que trocam tokens. Para web apps e apps móveis, o standard atual é o Authorization Code Flow com PKCE, porque funciona mesmo sem um client secret guardado em segurança.
Quando recorremos a ele.
Sempre que os utilizadores se autenticam através de identidades existentes ou um produto deve aceder a sistemas de terceiros — Microsoft Entra, Google, GitHub. Em vez de gerir palavras-passe nós próprios, apoiamo-nos em identity providers estabelecidos.
Isto reduz de forma percetível a superfície de ataque e o esforço: gestão de sessões, MFA e resets de palavra-passe ficam a cargo do provider, que opera isso como negócio principal.
Onde a autenticação feita à mão se torna perigosa.
O OAuth é subtil. Redirect URIs mal configurados, falta de PKCE ou tokens validados de forma negligente abrem brechas reais. A autenticação caseira costuma falhar não no login, mas nos casos-limite — renovação de token, logout, revogação.
A nossa regra: usar bibliotecas e providers comprovados, não reinventar o protocolo.
