No contexto de OAuth 2, a questão aborda a natureza dos tokens de acesso, que são essenciais para a segurança e autenticação em sistemas distribuídos, como APIs.

Resumo Teórico: O OAuth 2 é um protocolo de autorização que permite que aplicativos de terceiros acessem os recursos de um usuário final, sem expor suas credenciais. Um dos componentes fundamentais do OAuth 2 é o token de acesso, que autoriza requisições para recursos protegidos. Estes tokens podem ser de vários tipos, mas o protocolo não especifica que eles devem ser JWT (JSON Web Tokens) por padrão.

Os tokens de acesso no OAuth 2 podem ser implementados de diferentes maneiras dependendo das necessidades do sistema. Enquanto o JWT é um formato popular por sua flexibilidade e capacidade de transporte seguro de informações, o protocolo OAuth 2 não impõe o uso exclusivo deste formato.

Justificativa para a Alternativa Correta:

A questão afirma que, por padrão, os tokens de acesso no OAuth 2 devem ser do tipo JWT. Isso é incorreto porque o OAuth 2 não define um formato padrão obrigatório para tokens de acesso. Este detalhe é crucial para a compreensão correta da questão. Portanto, a resposta certa é a alternativa E (Errado).

Análise da Alternativa Incorreta:

A única alternativa fornecida é a confirmação ou negativa da afirmação dada. A afirmação está errada, portanto, a alternativa "Certo" não se aplica aqui, uma vez que o OAuth 2 não restringe os tokens ao formato JWT por padrão.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

ERRADO.

questão tentou confudir com o OIDC, que, por padrão, usa o JWT como modelo de token.

GABARITO: ERRADO

OAUTH 2

·        é um protocolo de AUTORIZAÇÃO que permite que aplicativos obtenham acesso limitado a contas de usuários em um serviço HTTP sem a necessidade de enviar seu usuário e senha. Basicamente, o usuário delega, a um determinado aplicativo, acesso aos seus dados em um determinado serviço ou AP.

·        . pode ser combinado com outros padrões, como o OpenID Connect, para AUTENTICAÇÃO.

·        O SINGLE LOGOUT (SLO) é uma funcionalidade que permite aos usuários sair de vários aplicativos ou serviços com uma única ação.

·        O protocolo OAuth existe para descrever uma maneira segura de acessar recursos de terceiros

·        Autenticação baseada em MAC ou JWTs assinados (JWS).

Errado.

Do próprio OAuth: "Os tokens de acesso não precisam estar em nenhum formato específico e, na prática, vários servidores OAuth escolheram muitos formatos diferentes para seus tokens de acesso."

O que acontece, o JWT é uma escolha comum, talvez seja o mais usado, mas ele não é o padrão. O OAuth não tem padrão de token.

-----------------

Resuminho de OAuth2 do próprio site deles:

OAuth 2.0 é o protocolo padrão da indústria para autorização. OAuth 2.0 foca na simplicidade.

A estrutura de autorização OAuth 2.0 permite que uma aplicação de terceiros obtenha acesso limitado a um serviço HTTP, seja em nome do proprietário de um recurso, orquestrando uma interação de aprovação entre o proprietário do recurso e o serviço HTTP, ou permitindo que a aplicação de terceiros obtenha acesso em seu próprio nome. Esta especificação substitui e torna obsoleto o protocolo OAuth 1.0 descrito na RFC 5849.

O OAuth define quatro funções:

• Proprietário do recurso: Uma entidade capaz de conceder acesso a um recurso protegido. Quando o proprietário do recurso é uma pessoa, ele é chamado de usuário final.
• Servidor de recursos: O servidor que hospeda os recursos protegidos, capaz de aceitar e responder a solicitações de recursos protegidos usando tokens de acesso.
• Cliente: Um aplicativo que faz solicitações de recursos protegidos em nome do proprietário do recurso e com sua autorização. O termo "cliente" não implica quaisquer características particulares de implementação (por exemplo, se o aplicativo é executado em um servidor, desktop ou outro dispositivo).
• Servidor de autorização: O servidor que emite tokens de acesso ao cliente após autenticar com sucesso o proprietário do recurso e obter sua autorização.

A interação entre o servidor de autorização e o servidor de recursos está além do escopo desta especificação. O servidor de autorização pode ser o mesmo servidor que o servidor de recursos ou uma entidade separada. Um único servidor de autorização pode emitir tokens de acesso aceitos por vários servidores de recursos.

O processo de autorização utiliza dois endpoints do servidor de autorização (recursos HTTP):

• Endpoint de autorização: Usado pelo cliente para obter autorização do proprietário do recurso por meio de redirecionamento do agente do usuário.
• Endpoint de token: Usado pelo cliente para trocar uma concessão de autorização por um token de acesso, geralmente com autenticação do cliente.

Além disso, existe um endpoint do cliente:

• Endpoint de redirecionamento: Usado pelo servidor de autorização para retornar respostas contendo credenciais de autorização para o cliente por meio do agente do usuário do proprietário do recurso.

Gabarito: E

O Oauth 2.0 usa tokens de acesso. Um token de acesso é um dado que representa a autorização para acessar recursos em nome do usuário final. O OAuth 2.0 NÃO DEFINE UM FORMATO ESPECÍFICO PARA TOKENS DE ACESOS. No entanto, em alguns contextos, o formato JSON Web Token (JWT) é frequentemente usado.

FONTE: https://auth0.com/pt/intro-to-iam/what-is-oauth-2

Quando tiver alguma restrição, a exemplo: "devem", fique atento!