Leaders Logo
Developer Technologies

Segurança em APIs: Implementação de OAuth 2.0 e OpenID Connect em Aplicações, com Foco em Proteção de Dados sensíveis

Por Nagib Sabbag Filho
30/11/2025
Tempo de leitura: 5 minutos
vol. 2, num. 35, 2025

Introdução

Com o crescente uso de APIs em diversas aplicações, a segurança dessas interfaces se torna uma preocupação primordial. A proteção de dados sensíveis e a autenticação adequada são fundamentais para garantir a integridade e a privacidade das informações. Neste contexto, OAuth 2.0 e OpenID Connect emergem como protocolos essenciais que fornecem meios eficazes de autenticação e autorização.

OAuth 2.0: Visão Geral

O OAuth 2.0 é um framework de autorização que permite que clientes acessem recursos protegidos em nome de um usuário sem expor suas credenciais. Os tokens de acesso são uma das formas utilizadas para essa autorização, mas o protocolo também prevê outros artefatos, como códigos de autorização e tokens de renovação, que compõem o processo seguro de obtenção e manutenção do acesso. Um dos principais objetivos é manter uma comunicação segura entre o cliente e o servidor (HARDT, 2012)

Funcionamento do OAuth 2.0

Um fluxo básico do OAuth 2.0 pode ser dividido nas seguintes etapas:

  • O usuário solicita autorização para um aplicativo cliente.
  • O servidor de autorização autentica o usuário e solicita autorização.
  • Uma vez autorizado, o servidor de autorização emite um token de acesso.
  • O aplicativo cliente utiliza o token para acessar os recursos protegidos.
Imagem SVG do Artigo

Implementação em C#

O IdentityServer oferece uma implementação robusta dos padrões OAuth 2.0 e OpenID Connect dentro do ecossistema .NET. Ele funciona como um provedor de identidade completo, responsável por emitir tokens, validar permissões e centralizar a lógica de autenticação e autorização. Sua arquitetura modular permite integrar aplicações distribuídas com segurança consistente, tornando-o uma escolha sólida para cenários corporativos e sistemas de larga escala (PETROVA; VARBANOVA, 2023).

Um exemplo prático de implementação de OAuth 2.0 em C# pode ser encontrado em aplicações .NET. O código abaixo demonstra como configurar a autenticação com OAuth 2.0 usando o IdentityServer.

public void ConfigureServices(IServiceCollection services)
{
    services.AddAuthentication(options =>
    {
        options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = Configuration["Jwt:Issuer"],
            ValidAudience = Configuration["Jwt:Audience"],
            IssuerSigningKey = new 
                SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
        };
    });
}

Implementação em Go (Golang)

Para implementar OAuth 2.0 em Go, a biblioteca "golang.org/x/oauth2" pode ser utilizada. O exemplo abaixo mostra como configurar um cliente OAuth 2.0.

package main

import (
    "golang.org/x/oauth2"
    "golang.org/x/oauth2/google"
    "net/http"
)

func main() {
    conf := &oauth2.Config{
        ClientID:     "YOUR_CLIENT_ID",
        ClientSecret: "YOUR_CLIENT_SECRET",
        RedirectURL:  "YOUR_REDIRECT_URL",
        Scopes:       []string{"https://www.googleapis.com/auth/userinfo.profile"},
        Endpoint:     google.Endpoint,
    }

    http.HandleFunc("/auth", func(w http.ResponseWriter, r *http.Request) {
        url := conf.AuthCodeURL("state", oauth2.AccessTypeOffline)
        http.Redirect(w, r, url, http.StatusTemporaryRedirect)
    })

    http.ListenAndServe(":8080", nil)
}

OpenID Connect: Autenticação sobre OAuth 2.0

OpenID Connect é uma camada de identidade construída sobre o protocolo OAuth 2.0. Ele permite que os desenvolvedores autentiquem usuários e obtenham informações sobre eles de forma segura.

Funcionamento do OpenID Connect

O OpenID Connect utiliza os mesmos componentes do OAuth 2.0, mas introduz novos conceitos, como o ID Token, que fornece informações sobre a autenticação do usuário.

Implementação em C#

A implementação do OpenID Connect em C# pode ser realizada com o middleware do ASP.NET Core. O exemplo abaixo mostra como configurar a autenticação OpenID Connect.

services.AddAuthentication(options =>
{
    options.DefaultScheme = CookieAuthenticationDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = OpenIdConnectDefaults.AuthenticationScheme;
})
.AddCookie()
.AddOpenIdConnect(options =>
{
    options.ClientId = Configuration["AzureAd:ClientId"];
    options.ClientSecret = Configuration["AzureAd:ClientSecret"];
    options.Authority = 
    $"{Configuration["AzureAd:Instance"]}{Configuration["AzureAd:TenantId"]}/v2.0";
    options.ResponseType = "code id_token";
    options.SaveTokens = true;
});

Implementação em Go (Golang)

Para o OpenID Connect em Go, a biblioteca "golang.org/x/oauth2" também pode ser utilizada. O exemplo abaixo demonstra a configuração de um cliente OpenID Connect.

package main

import (
    "golang.org/x/oauth2"
    "golang.org/x/oauth2/google"
    "net/http"
)

func main() {
    conf := &oauth2.Config{
        ClientID:     "YOUR_CLIENT_ID",
        ClientSecret: "YOUR_CLIENT_SECRET",
        RedirectURL:  "YOUR_REDIRECT_URL",
        Scopes:       []string{"openid", "profile", "email"},
        Endpoint:     google.Endpoint,
    }

    http.HandleFunc("/auth", func(w http.ResponseWriter, r *http.Request) {
        url := conf.AuthCodeURL("state", oauth2.AccessTypeOffline)
        http.Redirect(w, r, url, http.StatusTemporaryRedirect)
    })

    http.ListenAndServe(":8080", nil)
}

Proteção de Dados Sensíveis

A proteção de dados sensíveis é uma das principais preocupações ao implementar OAuth 2.0 e OpenID Connect. É crucial garantir que os tokens de acesso e as informações do usuário sejam armazenados e transmitidos de forma segura.

Armazenamento Seguro de Tokens

Os tokens de acesso devem ser armazenados com rigor, utilizando preferencialmente mecanismos de armazenamento criptografado para evitar exposição acidental, vazamento em logs ou interceptação por software malicioso. A proteção consistente desses dados é essencial para mitigar riscos como roubo de credenciais, ataques de replay e sequestro de sessão, já que o armazenamento inseguro permanece como um dos vetores mais críticos em implementações OAuth 2.0 (LODDERSTEDT et al., 2013).

Comunicação Segura

A comunicação entre cliente e servidor deve ocorrer exclusivamente por meio de HTTPS, garantindo confidencialidade, integridade e autenticidade dos dados transmitidos. As diretrizes do NIST 800-63B reforçam que qualquer informação sensível (incluindo tokens, credenciais e identificadores persistentes) deve trafegar apenas em canais criptografados, já que transmissões sem TLS expõem o sistema a interceptação, adulteração e ataques de replay (GRASSI et al., 2017).

Conclusão

A implementação de OAuth 2.0 e OpenID Connect proporciona um framework robusto para autenticação e autorização em aplicações modernas. No entanto, é essencial seguir as melhores práticas de segurança para proteger dados sensíveis, garantindo que a privacidade e a integridade das informações dos usuários sejam mantidas.

Referências

  • HARDT, Dick. The OAuth 2.0 authorization framework. 2012. reference.Description
  • PETROVA, Plamenna; VARBANOVA, Silvia. IdentityServer Integration with ASP. NET Core. 2023. reference.Description
  • LODDERSTEDT, Torsten; MCGLOIN, Mark; HUNT, Phil. OAuth 2.0 threat model and security considerations. 2013. reference.Description
  • GRASSI, Paul A. et al. NIST 800-63B digital identity guidelines: Authentication and lifecycle management. McLean, VA, Tech. Rep, 2017. reference.Description
Sobre o autor

Nagib atua como Microsoft MVP, possui experiência como Líder de Arquitetura de Sistemas, Tech Manager, Professor Universitário e Desenvolvedor Sênior, com uma carreira marcada por sólidas conquistas acadêmicas e profissionais. É pós-graduado pelo SENAC e pela Universidade Presbiteriana Mackenzie, com MBA em Tecnologia de Software pela USP, além de ter participado de programas de extensão do MIT e da Universidade de Chicago. É autor de um artigo científico revisado por pares sobre chatbots, apresentado presencialmente na Universidade de Barcelona. Participa ativamente da comunidade técnica, com mais de 50 artigos publicados, incluindo mais de 10 artigos no iMasters. Como palestrante, participou de eventos de grande relevância nacional, como as trilhas de Arquitetura .NET do TDC São Paulo, Arquitetura de Soluções do TDC Floripa e Developer Technologies do MVP Conf, além de palestrar no TOTVS Developers.