This is the Trace Id: e3426251be77f05350cd830a9fe4a608
Pular para o conteúdo principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Confira todos os produtos Segurança cibernética da plataforma AI Segurança da nuvem Segurança e governança de dados Identidade e acesso à rede Gerenciamento de riscos e privacidade Segurança para IA Pequenas e médias empresas Operações de segurança integradas Confiança Zero Preços Serviços Parceiros Por que a Segurança da Microsoft? Conscientização sobre segurança cibernética Histórias de clientes Introdução à segurança Avaliações de produtos Reconhecimento do setor Microsoft Security Insider Relatório de Defesa Digital da Microsoft Security Response Center Blog de Segurança da Microsoft Eventos de Segurança da Microsoft Tech Community da Microsoft Documentação Biblioteca de conteúdo técnico Treinamentos e certificações Programa de Conformidade para a Microsoft Cloud Central de Confiabilidade da Microsoft Portal de Confiança do Serviço Microsoft Iniciativa Futuro Seguro Centro de soluções empresariais Entre em contato com o departamento de vendas Inicie uma avaliação gratuita Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 IA da Microsoft Espaço do Azure Realidade misturada Microsoft HoloLens Microsoft Viva Computação quântica Educação Automotivo Serviços financeiros Governo Saúde Manufatura Varejo Encontrar um parceiro Seja um parceiro Partner Network Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro do desenvolvedor Documentação Eventos Licenciamento Microsoft Learn Microsoft Research Ver mapa do site
Uma mulher trabalhando em um laptop.

O que é OAuth?

Saiba o que é OAuth e como ele é usado para autorizar o acesso entre aplicativos e serviços sem comprometer informações confidenciais.
Simplifique o acesso a recursos

OAuth explicado

OAuth é um padrão tecnológico que permite autorizar um aplicativo ou serviço a entrar em outro sem divulgar informações privadas, como senhas. Se você já recebeu uma mensagem como "Entrar com o Facebook?" ou "Permitir que este aplicativo acesse a sua conta?" você viu OAuth em ação.

OAuth significa Open Authorization — não autenticação, como às vezes se supõe. Autenticação é um processo que verifica sua identidade. O OAuth envolve sua identidade, mas sua finalidade é conceder permissão para se conectar diretamente a você com diferentes aplicativos e serviços sem exigir que você crie uma nova conta. O OAuth fornece essa simplicidade de experiência, dando a você a opção de autorizar dois aplicativos a compartilharem alguns de seus dados sem revelar suas credenciais. Ele atinge um equilíbrio entre conveniência e segurança.

O OAuth foi projetado para funcionar com o protocolo HTTP. Ele usa tokens de acesso para provar sua identidade e permitir que ela interaja com outro serviço em seu nome. No caso de esse segundo serviço sofrer uma violação de dados, suas credenciais no primeiro serviço permanecerão seguras. O OAuth é um protocolo amplamente adotado e de padrão aberto e a maioria dos desenvolvedores de sites e aplicativos o utiliza.

É importante lembrar que o OAuth não concede a um aplicativo ou serviço de terceiros acesso ilimitado aos seus dados. Parte do protocolo é especificar quais dados o terceiro tem permissão para acessar e o que ele pode fazer com esses dados. Definir essas limitações e proteger identidades em geral é especialmente crítico em cenários de negócios, em que muitas pessoas têm acesso a uma grande quantidade de informações confidenciais e proprietárias.

Como o OAuth funciona?

Os tokens de acesso são o que tornam o OAuth seguro de usar. Um token de acesso é uma parte dos dados que contém informações sobre o usuário e o recurso para o qual o token se destina. Um token também incluirá regras específicas para compartilhamento de dados.

Por exemplo, talvez você queira compartilhar fotos no seu perfil de redes sociais com um aplicativo de edição de fotos, mas só deseja que ele tenha acesso a algumas de suas fotos. Ele também não precisa acessar sua lista de mensagens diretas ou amigos. O token só autoriza o acesso aos dados aprovados. Também pode haver regras que regem quando o aplicativo pode usar esse token – pode ser para um único uso ou para usos recorrentes – e uma data de validade.

O processo OAuth é principalmente uma interação de máquina para máquina, tendo apenas alguns pontos de contato com o usuário. Em alguns cenários, talvez você não precise fornecer sua aprovação porque isso está sendo feito silenciosamente em segundo plano pelo software. Dois exemplos de OAuth seriam um cenário de trabalho empresarial, em que uma plataforma de identidade faz a conexão entre recursos para reduzir o atrito de TI para um grande número de usuários, ou interações entre alguns dispositivos inteligentes.

Exemplos de tecnologia OAuth

Como muitas tecnologias que simplificam algo trabalhoso — nesse caso, criar contas manualmente em vários aplicativos —, o OAuth foi adotado quase universalmente por quem cria aplicativos. Ele tem uma ampla variedade de casos de uso para pessoas e empresas.

Para dar um exemplo de OAuth, suponha que você esteja usando o Microsoft Teams como uma ferramenta de colaboração e queira acessar mais informações sobre as pessoas com quem você está trabalhando, dentro e fora da sua organização. Você decide habilitar a integração do LinkedIn para saber mais sobre as pessoas enquanto interage com elas, sem sair do Teams. Em seguida, a Microsoft e o LinkedIn usariam o OAuth para autorizar a vinculação de suas contas à sua identidade da Microsoft.

Outro cenário de uso do OAuth seria baixar um aplicativo de orçamento para ajudar no controle dos seus gastos com alertas e auxílios visuais, como grafos. Para fazer o seu trabalho, o aplicativo precisaria ter acesso a alguns dos seus dados bancários. Você pode iniciar uma solicitação para vincular sua conta bancária ao aplicativo, autorizando apenas o acesso ao saldo e às transações da sua conta. O aplicativo e o seu banco usariam o OAuth para fazer essa troca de informações em seu nome sem revelar suas credenciais de entrada bancária para o aplicativo.

Outro exemplo de OAuth seria se você fosse um desenvolvedor usando o GitHub e ficasse sabendo que há um aplicativo de terceiros disponível que pode se integrar à sua conta para executar revisões de código automatizadas. Você acessaria o GitHub Marketplace e baixaria o aplicativo. Em seguida, ele solicitaria que você autorizasse uma conexão com o aplicativo usando sua identidade do GitHub — um processo que seria tratado usando o OAuth. O aplicativo de revisão poderia então acessar seu código sem que você precisasse entrar em ambos os serviços toda vez.

Qual é a diferença entre OAuth 1.0 e OAuth 2.0?

O OAuth 1.0 original foi desenvolvido apenas para websites. Ele não é amplamente usado hoje porque o OAuth 2.0 foi projetado para aplicativos e sites, além de ser mais rápido e fácil de implementar. O OAuth 1.0 não pode ser escalado como o OAuth 2.0, e tem apenas três fluxos de autorização possíveis em comparação com os seis do OAuth 2.0.

Se você estiver planejando usar o OAuth, é melhor usar a versão 2.0 desde o início. Infelizmente, o OAuth 1.0 não pode ser atualizado para o OAuth 2.0. O OAuth 2.0 foi projetado como uma reformulação radical do OAuth 1.0 e várias grandes empresas de tecnologia contribuíram com comentários para a criação do seu design. Um website pode dar suporte tanto ao OAuth 1.0 quanto ao OAuth 2.0, mas os criadores pretendiam que o 2.0 substituísse totalmente o 1.0.

OAuth vs. OIDC

OAuth e Open ID Connect (OIDC) são protocolos intimamente relacionados. Eles são semelhantes, pois ambos desempenham um papel em dar a um aplicativo acesso aos recursos de outro aplicativo em nome de um usuário. A diferença é que, embora o OAuth seja usado para autorização para acessar recursos, o OIDC é usado para autenticação da identidade de uma pessoa. Ambos desempenham a função de permitir que dois aplicativos não relacionados compartilhem informações sem comprometer os dados do usuário.

Os provedores de identidade normalmente usam o OAuth 2.0 e o OIDC juntos. O OIDC foi desenvolvido especificamente para aprimorar os recursos do OAuth 2.0 adicionando uma camada de identidade a ele. Como ele é baseado no OAuth 2.0, o OIDC não é compatível com versões anteriores do OAuth 1.0.

Introdução ao OAuth

Usar OAuth 2.0 com seus sites e aplicativos pode melhorar muito a experiência de usuários ou funcionários ao simplificar o processo de autenticação de identidade. Para começar, invista em uma solução de provedor de identidade, como Microsoft Entra, que protege usuários e dados com segurança interna.

O Microsoft Entra ID (antigo Azure Active Directory) dá suporte a todos os fluxos OAuth 2.0. Os desenvolvedores de aplicativos podem usar o ID como um provedor de autenticação baseado em padrões para ajudar a integrar funcionalidades de identidade moderna em escala empresarial em aplicativos. Administradores de TI podem usá-lo para controlar o acesso.
Recursos

Saiba mais sobre a Segurança da Microsoft

  1.
Pessoas trabalhando juntas revisando algo em um laptop

Explorar Microsoft Entra

Proteja identidades e o acesso seguro em todas as nuvens com uma família abrangente de soluções.
Saiba mais.
Homem usando um computador desktop

Microsoft Entra ID (antigo Azure Active Directory)

Proteja o acesso a recursos e dados usando autenticação forte e acesso adaptativo com base em risco.
Saiba mais
Duas pessoas olhando um laptop juntas

Incorpore confiança aos seus aplicativos

Implemente o SSO para que os funcionários possam acessar todos os recursos de que precisam com uma única credencial.
Saiba mais
Pessoas olhando um computador desktop em um escritório

Simplifique as experiências de entrada

Implemente o SSO para que os funcionários possam acessar todos os recursos de que precisam com uma única credencial.
Saiba mais
Homem usando o telefone para autenticar o laptop

Proteja contra ataques

Use a autenticação multifator para melhorar a proteção dos recursos da sua organização.
Saiba mais
Pessoa trabalhando em um laptop em uma área de convivência de escritório moderno

Use OAuth para simplificar o acesso a dados de email

Saiba como autenticar conexões com aplicativos usando protocolos herdados.
Confira mais
Voltar à seção Produtos relacionados
Perguntas frequentes

Perguntas frequentes

  • OAuth significa Open Authorization e é um padrão tecnológico que permite autorizar um aplicativo ou serviço a entrar em outro sem divulgar informações confidenciais, como senhas. Quando um aplicativo pede autorização para ver as informações do seu perfil, ele está usando OAuth.
  • O OAuth funciona por meio da troca de tokens de acesso — partes de dados que contêm informações sobre o usuário e o recurso para o qual o token é destinado. Um aplicativo ou site troca informações criptografadas com outro sobre um usuário e inclui regras específicas para compartilhamento de dados. Também pode haver regras para quando o aplicativo pode usar esse token e uma data de validade. O processo de OAuth é, em geral, uma interação entre máquinas, com poucos pontos de contato para o usuário, se houver
  • Muitas empresas usam OAuth para simplificar o acesso a aplicativos e sites de terceiros sem divulgar as senhas ou os dados confidenciais dos usuários. Google, Amazon, Microsoft, Facebook e Twitter o usam para compartilhar informações sobre suas contas para uma ampla variedade de finalidades, incluindo a simplificação de compras. A plataforma de identidade da Microsoft usa OAuth para autorizar permissões para contas de trabalho e escola, contas pessoais, contas de redes sociais e contas de jogos.
  • OAuth e Open ID Connect (OIDC) são protocolos intimamente relacionados. Eles são semelhantes, pois ambos desempenham um papel em dar a um aplicativo acesso aos recursos de outro aplicativo em nome de um usuário. No entanto, a diferença é que o OAuth é usado para autorização para acessar recursos, enquanto o OIDC é usado para autenticação da identidade de uma pessoa. Ambos desempenham um papel ao permitir que dois aplicativos não relacionados compartilhem informações sem comprometer os dados do usuário.
  • Há muitas diferenças entre OAuth 1.0 e OAuth 2.0 porque o OAuth 2.0 foi projetado como um grande redesenho do OAuth 1.0, tornando-o quase obsoleto. O OAuth 1.0 foi desenvolvido somente para sites, enquanto o OAuth 2.0 foi projetado para aplicativos e sites. O OAuth 2.0 é mais rápido, mais fácil de implementar, pode ser escalável e tem seis fluxos de autorização possíveis, em comparação com os três do OAuth 1.0.

Siga a Segurança da Microsoft

Copilot para organizações Copilot para uso pessoal Microsoft 365 Explorar os produtos da Microsoft Aplicativos do Windows 11 Perfil da conta Centro de Download Suporte da Microsoft Store Devoluções Acompanhamento de pedidos Microsoft Education Dispositivos para educação Microsoft Teams para Educação Microsoft 365 Education Office Education Treinamento e desenvolvimento de educadores Ofertas para estudantes e pais Azure para estudantes
IA da Microsoft Segurança da Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desenvolvedor Microsoft Microsoft Learn Suporte para aplicativos de marketplace de IA Comunidade Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Carreiras Sobre a Microsoft Notícias da empresa Privacidade na Microsoft Investidores Diversidade e inclusão Acessibilidade
Português (Brasil) Privacidade dos Dados de Saúde do Consumidor Entre em contato com a Microsoft Privacidade Gerenciar cookies Ética e Compliance Nota Legal Marcas Sobre os nossos anúncios

Microsoft do Brasil Importação e Comércio de Software e Vídeo Games Ltda., com sede na cidade de São Paulo, Estado de São Paulo, na Avenida Presidente Juscelino Kubitschek, nº 1.909, conjunto 181, localizado no 18º andar da Torre Sul SP Corporate Towers, Vila Nova Conceição, CEP 04543-907, inscrita no CNPJ sob o nº 04.712.500/0001-07.