OAuth 2.0 e OIDC permitem login com Google, Microsoft ou IdP corporativo. Use HTTPS e cookies seguros. Valide e renove tokens; trate logout e revogação.
OAuth 2.0 e OIDC
- OAuth 2.0: Framework de autorização. Sua app obtém access token (e opcionalmente refresh token) do IdP após o usuário autorizar. Use o token para chamar APIs em nome do usuário. Use biblioteca testada e IdP conhecido.
- OIDC: Camada de identidade sobre OAuth 2.0. Adiciona ID token (JWT com identidade) e claims padrão. Use OIDC quando precisar de "quem é este usuário?" além de "esta app pode agir por ele?".
- Fluxos: Authorization Code (com PKCE para clientes públicos) é o fluxo recomendado para web e mobile. Evite guardar client secrets no frontend.
HTTPS e cookies
- HTTPS: Todos os endpoints de auth e redirects devem usar HTTPS. Tokens em redirects não devem vazar por HTTP. HSTS.
- Cookies: Para sessão pós-login, use Secure, HttpOnly, SameSite. ID de sessão forte; vida curta e refresh via refresh token ou re-auth.
Tratamento de tokens
- Validar: Verifique assinatura do ID e access token (JWKS do IdP), audience, issuer e expiry. Não confie em tokens sem validação.
- Refresh: Use refresh tokens para obter novos access tokens. Guarde refresh tokens com segurança (ex. criptografados no servidor).
- Logout: Implemente single logout: limpe sua sessão e chame endpoint de logout do IdP se suportado. Descarte tokens ao sair.
Resumo
OAuth 2.0 e OIDC permitem login com Google, Microsoft ou IdP corporativo. Use HTTPS e cookies seguros. Valide e renove tokens; trate logout e revogação.
