Alternativa correta: C - certo

Tema central: A questão aborda o framework de autenticação OAuth 2.0, que é amplamente utilizado para autorizar aplicativos a acessar recursos em nome do usuário, sem expor as credenciais de login. Para entender essa questão, é necessário conhecer dois conceitos principais: refresh tokens e OpenID Connect.

Análise da alternativa correta: O OAuth 2.0 utiliza refresh tokens para permitir que o aplicativo obtenha novos tokens de acesso sem exigir que o usuário faça login novamente. Isso é importante para melhorar a experiência do usuário e a segurança, pois evita que as credenciais sejam solicitadas repetidamente.

Além disso, o OpenID Connect atua como uma camada de autenticação sobre o protocolo OAuth 2.0. Ele adiciona funcionalidades para autenticar usuários e obter informações sobre eles, além de autorizar o acesso a recursos. Esta afirmação é correta, pois descreve com precisão como o OpenID Connect se integra ao OAuth 2.0.

Justificativa das alternativas incorretas: A alternativa E - errado está incorreta porque contraria os fatos estabelecidos pelo funcionamento do OAuth 2.0 e do OpenID Connect. Se fosse assinalada como errada, estaria negando a utilização de refresh tokens para renovar o acesso sem novo login, e não reconheceria a função do OpenID Connect como uma camada adicional de autenticação.

Estratégia para interpretação: Ao abordar questões sobre autenticação e protocolos como o OAuth 2.0, é útil focar em palavras-chave como "tokens", "login", "autenticação" e "autorização". Entender a diferença entre autorização (conceder acesso) e autenticação (verificar identidade) é crucial. Ler o enunciado com atenção para identificar esses elementos ajuda a escolher a alternativa correta.

Gostou do comentário? Deixe sua avaliação aqui embaixo!

Alternativa: Certo

O OAuth 2.0 é um protocolo de autorização amplamente utilizado para permitir que aplicativos acessem recursos protegidos em nome de um usuário, sem precisar acessar diretamente as credenciais do usuário. Ele é frequentemente complementado por OpenID Connect (OIDC) para fornecer uma camada de autenticação.

1. Refresh Tokens:

• No OAuth 2.0, o refresh token é um token de longa duração usado para obter um novo token de acesso (de curta duração) sem exigir que o usuário faça login novamente.
• Esse mecanismo melhora a experiência do usuário ao evitar logins frequentes e permite sessões mais longas sem comprometer a segurança.

1. Base para o OpenID Connect (OIDC):

• O OAuth 2.0 é um protocolo de autorização, não de autenticação.
• O OpenID Connect estende o OAuth 2.0 ao adicionar uma camada de autenticação, fornecendo informações sobre a identidade do usuário (por exemplo, com um ID Token).
• OIDC combina os benefícios de autorização e autenticação em um único fluxo.

• O OAuth 2.0 utiliza refresh tokens para renovar tokens de acesso sem exigir login do usuário.
• O OpenID Connect é baseado no OAuth 2.0, mas adiciona autenticação, permitindo que aplicativos confirmem a identidade do usuário.

A afirmativa está Certa, pois descreve corretamente o uso de refresh tokens no OAuth 2.0 e sua relação como base para o OpenID Connect, que adiciona uma camada de autenticação ao protocolo.

Fonte: GPT

"sem pedir ao usuário para fazer login novamente" forçou a barra

Segue o jogo

Quando o cliente (a aplicação) recebe do proprietário do recurso (Resource Owner) a concessão de autorização (Authorization Grant) e envia essa concessão de autorização para o servidor de autorização (Authorization Server), este servidor de autorização (Authorization Server) valida a concessão de autorização e, se válida, emite um Access Token e também um Refresh Token.

Por sua vez, o Refresh Token é usado para obter um novo token de acesso (access token) quando o token de acesso atual se torna inválido ou expira, ou para obter tokens de acesso adicionais com escopo idêntico ou mais restrito.

Portanto, o próprio Refresh Token é usado para obter um outro Acess Token. Daí, esse novo Acess Token é enviado ao servidor de recursos (Resource Server), que valida o token de acesso e, se válido, atende à solicitação. Retornando o recurso protegido (Protected Resource).

Um Token de Atualização (Refresh Token) OAuth é uma string que o cliente OAuth pode usar para obter um novo token de acesso (new access token) sem a interação do usuário. O token de atualização (refresh token) existe para permitir que os servidores de autorização (authorization servers) usem tempos de vida curtos (short lifetimes) para tokens de acesso (access tokens) sem a necessidade de envolver o usuário quando o token expirar.

Logo, não precisa de pedir ao usuário para fazer login novamente. Isso já foi feito quando o proprietário do recurso (Resource Owner) fez a concessão de autorização (Authorization Grant) para o cliente (aplicação).

--

O OpenID Connect é um protocolo de autenticação interoperável baseado na estrutura de especificações OAuth 2.0 (IETF RFC 6749 e 6750).

Gabarito Certo

A afirmação descreve com precisão dois dos conceitos mais importantes do ecossistema de segurança moderna: o mecanismo de persistência de sessão do OAuth 2.0 e a relação estrutural entre ele e o OpenID Connect (OIDC).

O Access Token (token de acesso) costuma ter uma vida útil curta (ex: 30 minutos) por motivos de segurança. Quando ele expira, a aplicação não precisa incomodar o usuário pedindo a senha novamente. Em vez disso, ela envia o Refresh Token ao servidor de autorização para provar que a sessão ainda é válida e receber um novo par de tokens.

Como vimos em questões anteriores, o OAuth 2.0 nasceu estritamente para autorização (dar acesso a recursos). O OpenID Connect (OIDC) foi construído "em cima" dele para resolver o problema da autenticação (identificar quem é o usuário), adicionando o chamado ID Token.

Retroceder Nunca Render-se Jamais !

Força e Fé !

Fortuna Audaces Sequitur !