Acerca do OAuth2, julgue o próximo item. No OAuth 2, por pad...

ERRADO.

questão tentou confudir com o OIDC, que, por padrão, usa o JWT como modelo de token.

GABARITO: ERRADO

OAUTH 2

·        é um protocolo de AUTORIZAÇÃO que permite que aplicativos obtenham acesso limitado a contas de usuários em um serviço HTTP sem a necessidade de enviar seu usuário e senha. Basicamente, o usuário delega, a um determinado aplicativo, acesso aos seus dados em um determinado serviço ou AP.

·        . pode ser combinado com outros padrões, como o OpenID Connect, para AUTENTICAÇÃO.

·        O SINGLE LOGOUT (SLO) é uma funcionalidade que permite aos usuários sair de vários aplicativos ou serviços com uma única ação.

·        O protocolo OAuth existe para descrever uma maneira segura de acessar recursos de terceiros

·        Autenticação baseada em MAC ou JWTs assinados (JWS).

Errado.

Do próprio OAuth: "Os tokens de acesso não precisam estar em nenhum formato específico e, na prática, vários servidores OAuth escolheram muitos formatos diferentes para seus tokens de acesso."

O que acontece, o JWT é uma escolha comum, talvez seja o mais usado, mas ele não é o padrão. O OAuth não tem padrão de token.

-----------------

Resuminho de OAuth2 do próprio site deles:

OAuth 2.0 é o protocolo padrão da indústria para autorização. OAuth 2.0 foca na simplicidade.

A estrutura de autorização OAuth 2.0 permite que uma aplicação de terceiros obtenha acesso limitado a um serviço HTTP, seja em nome do proprietário de um recurso, orquestrando uma interação de aprovação entre o proprietário do recurso e o serviço HTTP, ou permitindo que a aplicação de terceiros obtenha acesso em seu próprio nome. Esta especificação substitui e torna obsoleto o protocolo OAuth 1.0 descrito na RFC 5849.

O OAuth define quatro funções:

• Proprietário do recurso: Uma entidade capaz de conceder acesso a um recurso protegido. Quando o proprietário do recurso é uma pessoa, ele é chamado de usuário final.
• Servidor de recursos: O servidor que hospeda os recursos protegidos, capaz de aceitar e responder a solicitações de recursos protegidos usando tokens de acesso.
• Cliente: Um aplicativo que faz solicitações de recursos protegidos em nome do proprietário do recurso e com sua autorização. O termo "cliente" não implica quaisquer características particulares de implementação (por exemplo, se o aplicativo é executado em um servidor, desktop ou outro dispositivo).
• Servidor de autorização: O servidor que emite tokens de acesso ao cliente após autenticar com sucesso o proprietário do recurso e obter sua autorização.

A interação entre o servidor de autorização e o servidor de recursos está além do escopo desta especificação. O servidor de autorização pode ser o mesmo servidor que o servidor de recursos ou uma entidade separada. Um único servidor de autorização pode emitir tokens de acesso aceitos por vários servidores de recursos.

O processo de autorização utiliza dois endpoints do servidor de autorização (recursos HTTP):

• Endpoint de autorização: Usado pelo cliente para obter autorização do proprietário do recurso por meio de redirecionamento do agente do usuário.
• Endpoint de token: Usado pelo cliente para trocar uma concessão de autorização por um token de acesso, geralmente com autenticação do cliente.

Além disso, existe um endpoint do cliente:

• Endpoint de redirecionamento: Usado pelo servidor de autorização para retornar respostas contendo credenciais de autorização para o cliente por meio do agente do usuário do proprietário do recurso.