Personagens - Reino da Identidade Federada

Título: Dama das Autorizações

Símbolo: Uma chave dourada com selo de permissão

Função: Ela define quem pode entrar e o que pode fazer

Lady OAuth é elegante e justa. Ela nunca pergunta quem você é — apenas se tem permissão para o que está tentando fazer. Ela é a porta de acesso que separa usuários, clientes e recursos protegidos.

“Não me importa sua identidade, mas sim o que você tem permissão para acessar.”

Ela entrega Access Tokens aos mensageiros (aplicações clientes), que servem como passes temporários para acessar recursos no reino.

Representa: O protocolo OAuth 2.1, responsável pela autorização (não pela identidade).

Título: Mestre dos Selos de Identidade

Símbolo: Um pergaminho digital com selo azul e assinatura criptográfica

Função: Ele confirma quem é o usuário e assina um ID Token

Lord OIDC trabalha lado a lado com Lady OAuth, mas vai além. Ele não apenas concede acesso — ele revela a verdade sobre quem está pedindo.

“Com este token, eu declaro quem é este usuário, e juro pela minha chave pública que isso é verdade.”

Representa: O OpenID Connect, que adiciona autenticação e identidade sobre o OAuth 2.0.

Título: O Emissário das Aplicações

Símbolo: Um envelope com o selo “Client ID”

Função: Representa o aplicativo que quer acessar dados em nome do usuário.

Alex é o intermediário entre o usuário e os serviços. Ele não guarda senhas, não lê segredos, mas sabe pedir tokens corretamente.

“Eu sou apenas um mensageiro. Se me derem um código, eu trago o token certo — e nada mais.”

Representa: O Cliente OAuth/OIDC, ou seja, o aplicativo que consome os tokens.

Título: Espírito da Confirmação Criptográfica

Símbolo: Um fio de luz conectando duas chaves

Função: Garante que o código de autorização só pode ser usado por quem o gerou.

Pixie é uma entidade de luz que acompanha Alex em cada viagem entre portais. Ela cria uma chave secreta efêmera (code_verifier) e um desafio criptográfico (code_challenge) antes de cada jornada.

“Sem mim, qualquer um poderia roubar esse código no caminho. Mas só quem conhece o segredo pode completar a troca.”

Representa: O Proof Key for Code Exchange (PKCE) — mecanismo de segurança obrigatório no OAuth 2.1.

Título: Arauto da Identidade

Símbolo: Um medalhão com o nome e assinatura digital do usuário

Função: Transmite quem o usuário é, de forma segura e verificável.

IDA (ID Token) é rápida e precisa. Ela traz informações essenciais — nome, e-mail, ID único — e uma assinatura digital (JWKS) que garante sua autenticidade.

“Sou a verdade assinada por Lord OIDC. Quem me lê sabe quem é o usuário, sem jamais ver sua senha.”

Representa: O ID Token do OIDC, que identifica o usuário autenticado.

Título: Cavaleiro da Autorização

Símbolo: Um escudo com o nome “Bearer”

Função: Dá acesso a recursos protegidos.

Ace é o irmão de IDA. Enquanto ela prova quem o usuário é, ele prova que o cliente tem autorização.

“Sou o Access Token — temporário, poderoso e perigoso nas mãos erradas.”

Representa: O Access Token, usado para autorizar requisições em APIs (Resource Servers).

Título: Mestre da Renovação

Símbolo: Um amuleto em forma de infinito (∞) com poderes regenerativos

Função: Renova tokens expirados sem precisar autenticar o usuário novamente.

Rex é o guardião dos ciclos. Ele vive nas sombras, protegido em cofres seguros (httpOnly cookies ou secure storage), e só aparece quando Ace está prestes a expirar. Sua missão é evitar que o usuário precise fazer login repetidamente.

"Quando Ace e IDA se tornam poeira do tempo, eu sou quem traz nova vida. Mas cuidado — sou valioso demais para ficar exposto."

Rex tem uma vida longa mas limitada. Ele pode se auto-renovar algumas vezes, mas eventualmente perde seu poder e o usuário precisa se autenticar novamente. É uma balança entre conveniência e segurança.

Poderes especiais:

Rotação: Pode se transformar em uma nova versão a cada uso
Revogação: Pode ser banido instantaneamente se detectada atividade suspeita
Hibernação: Permanece inativo por longos períodos

Representa: O Refresh Token, usado para obter novos Access Tokens sem re-autenticação.

Título: O Protetor das APIs

Símbolo: Uma muralha digital com sensores de assinatura JWT

Função: Entregar dados apenas a quem tem tokens válidos.

Seraph é um guerreiro antigo e firme. Ele verifica cada token, confirma assinaturas, expirações e escopos antes de liberar dados.

“Não importa quem pede. Importa se o token é legítimo e ainda válido.”

Representa: O Resource Server, que hospeda dados e APIs protegidas.

Título: A Desenvolvedora da Cara Core

Símbolo: Um laptop com o logotipo “Cara Core Informática”

Função: Ela aprende a conectar todos esses personagens num sistema real.

Devia está em treinamento. Ela entende que implementar OAuth 2.1 e OIDC não é decorar código, mas entender a diplomacia do Reino da Confiança.

“Cada parte do protocolo é um personagem com papel definido. O segredo é fazê-los conversar em harmonia.”

Os Personagens

Lady OAuth — A Guardiã das Portas

Lord OIDC — O Mago da Identidade

Alex Client — O Mensageiro Confiável

Pixie PKCE — A Guardiã dos Códigos Secretos

IDA Token — A Mensageira da Verdade

Ace Token — O Guerreiro das Permissões

Rex Token — O Renovador Eterno

Seraph Resource — O Guardião dos Dados

Devia — A Aprendiz de Integradora