Dicionário ilustrado para leigos e especialistas
Termos técnicos explicados de forma simples, com as metáforas do Reino
É como um passe VIP temporário que permite entrar em áreas específicas de um evento. Você não precisa mostrar seu documento de identidade toda vez - apenas o passe.
Ace Token - O Guerreiro das Permissões
É o guerreiro corajoso que carrega sua espada (permissões) e tem vida limitada. Depois de um tempo, ele precisa descansar e um novo guerreiro assume o posto.
String opaca ou JWT que representa uma autorização para acessar recursos protegidos. Tem escopo limitado e tempo de vida curto (15-60 min).
Authorization: Bearer eyJhbGciOiJSUzI1NiIs...É o processo de provar quem você é. Como quando você mostra seu RG na entrada de um prédio para comprovar sua identidade.
Dama Authen - A Verificadora Real
Ela é a responsável por verificar se você é realmente quem diz ser. Usa sua lupa mágica para examinar suas credenciais.
Processo de verificar a identidade de um usuário, normalmente através de credenciais como username/password, biometria, ou fatores múltiplos.
Authentication ≠ Authorization
Autenticação = "Quem é você?"
Autorização = "O que você pode fazer?"
São informações sobre você que estão "carimbadas" no seu documento digital. Como os dados no seu RG: nome, data de nascimento, etc.
Segredos gravados no medalhão de IDA Token
IDA carrega um medalhão mágico onde estão gravadas informações sobre você: seu nome real, título, missões que pode realizar, quando seu passe expira.
Key-value pairs dentro de um JWT que fornecem informações sobre o usuário ou contexto de autenticação.
{
"sub": "user123",
"name": "João Silva",
"email": "joao@example.com",
"exp": 1672531200
}É o aplicativo ou site que você está usando. Como o app do banco no seu celular ou o site da loja online. Ele precisa "conversar" com outros sistemas para funcionar.
Alex Client - O Mensageiro Confiável
É o mensageiro que trabalha para você. Quando você quer acessar algo, Alex vai até Lady OAuth pedir permissão em seu nome e traz de volta os tokens necessários.
Aplicação que solicita autorização em nome do usuário para acessar recursos protegidos. Registrada no Authorization Server com client_id único.
{
"client_id": "myapp123",
"redirect_uris": ["https://app.com/callback"],
"grant_types": ["authorization_code"],
"response_types": ["code"]
}É como um balcão específico em uma repartição pública. Cada balcão tem uma função: um para tirar RG, outro para pagar multas, outro para informações. Cada um tem seu endereço.
Os Portais Sagrados de Lord OIDC
São as diferentes portas do castelo: a Porta da Autorização (/authorize), a Câmara dos Tokens (/token), o Espelho das Informações (/userinfo).
URL específica que aceita requisições HTTP para operações do protocolo OAuth/OIDC. Cada endpoint tem função e parâmetros específicos.
GET https://auth.example.com/authorize?
response_type=code&client_id=app123É como uma carteira de identidade digital que prova quem você é. Diferente do Access Token (que é como um passe), este documento fala sobre você: seu nome, quando nasceu, etc.
IDA Token - A Mensageira da Verdade
Ela carrega um pergaminho oficial assinado por Lord OIDC que conta quem você é. Ninguém pode falsificar esse pergaminho porque tem o selo mágico do reino.
JWT assinado que contém claims sobre a autenticação do usuário. Específico do OpenID Connect, sempre no formato JWT.
NÃO enviar em APIs! ID Token é para o client verificar a autenticação, não para autorizar acesso a recursos.
eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIn0.signatureÉ quem você é - como seu nome, sobrenome, onde nasceu, seu e-mail. São as informações que te identificam de forma única no mundo digital.
Sire Identi - O Registrador do Reino
Ele mantém os livros sagrados com informações sobre todos os cidadãos: nomes verdadeiros, títulos, origem, características que tornam cada pessoa única no reino.
Conjunto de atributos únicos que descrevem uma entidade (usuário, aplicação, dispositivo). Base para autenticação e autorização.
É como um documento oficial com três partes: o cabeçalho (que tipo de documento é), o conteúdo (suas informações) e a assinatura (para provar que é verdadeiro).
Os Pergaminhos Mágicos
São documentos especiais com três seções: o selo de identificação, o conteúdo com seus dados, e a assinatura mágica que ninguém pode falsificar.
Padrão aberto (RFC 7519) para transmitir informações de forma segura entre partes. Formato: header.payload.signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIn0.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5cÉ um sistema de permissões que permite que um app acesse suas informações em outro serviço sem você dar sua senha. Como dar uma chave temporária para alguém entrar na sua casa.
Lady OAuth - A Guardiã das Portas
Ela decide quem pode entrar e o que pode fazer no reino. Dá permissões temporárias sem que você precise entregar suas chaves principais (senhas).
Framework de autorização que permite acesso limitado a recursos HTTP sem expor credenciais. OAuth 2.1 consolida boas práticas da versão 2.0.
OAuth é sobre AUTORIZAÇÃO (o que você pode fazer), não autenticação (quem você é).
É um sistema de identidade que funciona sobre OAuth. Enquanto OAuth diz "o que você pode fazer", OIDC diz "quem você é". Como um RG digital padronizado.
Lord OIDC - O Mago da Identidade
Ele trabalha junto com Lady OAuth. Enquanto ela cuida das permissões, ele cuida da identidade - criando carteiras de identidade mágicas (ID Tokens) para todos.
Camada de identidade construída sobre OAuth 2.0. Adiciona autenticação padronizada e informações de identidade via ID Token.
1. Client → /authorize?scope=openid
2. User autentica
3. Client recebe: Access Token + ID Token
4. Client valida ID Token → identidade confirmadaÉ um sistema de segurança extra que funciona como dar metade de uma senha para alguém e guardar a outra metade. Só quando as duas partes se juntam é que funciona.
Pixie PKCE - A Guardiã dos Códigos Secretos
Uma fada protetora que sempre acompanha Alex Client. Ela cria pares de chaves mágicas que impedem que ladrões roubem códigos no caminho.
Extensão de segurança OAuth (RFC 7636) que protege contra ataques de interceptação de código de autorização. Obrigatório no OAuth 2.1.
code_challenge=dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
code_challenge_method=S256É como uma "renovação automática". Quando seu passe VIP expira, ao invés de você ter que fazer toda a fila de novo, você tem um cupom especial que renova tudo automaticamente.
Rex Token - O Renovador Eterno
Ele vive nas sombras, sempre vigilante. Quando Ace Token fica cansado, Rex aparece silenciosamente e troca os tokens, renovando tudo sem que você perceba.
Credential de longa duração usado para obter novos access tokens sem re-autenticação do usuário. Mais sensível que access token.
POST /token
grant_type=refresh_token&refresh_token=abc123É o guardião dos seus dados. Como um funcionário de banco que só libera informações da sua conta se você mostrar um documento válido (token).
Seraph Resource - O Guardião dos Dados
É o guerreiro angelical que protege os tesouros do reino. Ele só abre os cofres quando alguém apresenta um token válido assinado por Lady OAuth.
Servidor HTTP que hospeda recursos protegidos. Aceita e valida access tokens para autorizar acesso a APIs.
Authorization: Bearer eyJhbGciOiJSUzI1NiIs...São as permissões específicas que você está dando para um app. Como dizer: "pode ver minhas fotos, mas não pode deletar" ou "pode ler meus emails, mas não pode enviar".
Cartas de Permissão de Lady OAuth
São pergaminhos específicos que Lady OAuth escreve definindo exatamente o que cada visitante pode fazer: "ler na biblioteca", "entrar no jardim", "falar com o rei".
Strings que definem permissões específicas que o client está solicitando. Limitam o que pode ser feito com o access token.
scope=openid profile email read:postsÉ quando você faz login uma vez e pode usar vários apps diferentes sem ter que digitar senha novamente. Como ter uma chave mestra que abre várias portas.
A Magia da Entrada Única
Uma vez que você passa pela Grande Porta de Lady OAuth e Lord OIDC, ganha um amuleto mágico que abre todas as outras portas do reino federado.
Capacidade de um usuário se autenticar uma vez e acessar múltiplos sistemas sem re-autenticação. OIDC facilita implementação de SSO.
Usar parâmetro prompt=none para verificação silenciosa de sessão.