Pular para o conteúdo principal
Alexandre Caramaschi
GEO e Marketing
Insights e Análises25Artigos39Hub Artefacto10Metodologia Sprint GEO
Educação
Todos os Cursos44 cursosFundamentosSEO e GEOIA e AutomaçãoGEO por SetorDashboard do AlunoLeaderboardnovoRecomendações IAnovo
Ferramentas
GEO ScoreTemplates GEOGEO OrchestratorPodcast GEO TalkPesquisa AcadêmicaBusca Inteligente
Serviços
Sprint GEO ConsultingDiagnóstico GEOCases de SucessoGEO para SaaSGEO para ConsultoriasBusiness-to-Agent
Sobre
Alexandre CaramaschiGlossário GEO (22 termos)novoImprensaPress KitMétricas ao VivoMapa do Site
Ctrl KFalar agora
  1. Início
  2. Educação
  3. OAuth e Autorização Delegada
Intermediário

OAuth e Autorização Delegada: Tokens, Escopos e Governança Zero-Trust

Domine OAuth 2.0 e OpenID Connect na prática: do fluxo Authorization Code à governança corporativa. Tokens, escopos, refresh rotation, anti-patterns e auditoria executiva de OAuth em portfolio SaaS.

Tempo estimado: ~180 minutos
8 módulos
Nível: Intermediário
OAuth 2.0, OIDC, Tokens, Escopos, Zero-Trust
0/8 concluídos
0%

Módulos

Pré-requisitos
  • HTTP básico (verbos, status codes, headers)
  • Conceitos de API e JSON
  • Familiaridade com autenticação básica

O que você vai aprender

Ao final deste curso, você consegue desenhar integrações OAuth corporativas com escopo mínimo, implementar refresh token rotation com detecção de reuso, distinguir OAuth de OpenID Connect e conduzir auditoria executiva de OAuth em portfolio SaaS.

Authorization Code Flow
Tokens e escopos
Governança zero-trust

OAuth é um padrão de autorização delegada. Permite que uma aplicação acesse recursos de outra sem precisar saber, armazenar ou trafegar a senha do usuário.

Imagine autorizar uma ferramenta de automação a criar eventos no seu Google Calendar. Sem OAuth, você teria duas opções ruins: entregar sua senha do Google ou abrir mão da automação. Com OAuth, a ferramenta recebe um token escopado, com permissões específicas e revogáveis.

A diferença operacional entre entregar senha e entregar token escopado é grande

AspectoEntregar senhaOAuth (token escopado)
AcessoTotal à contaApenas escopos aprovados
RevogaçãoTrocar senha (afeta tudo)Revogar 1 token (afeta 1 app)
MFA do usuárioBypassadaPreservada no provedor
AuditoriaInexistenteLogs por aplicação
VazamentoCompromete a conta inteiraCompromete um escopo limitado
http
// Antes: a aplicação X precisava da senha do usuárioPOST /login{  "username": "alexandre@brasilgeo.ai",  "password": "senha-real-do-google"}// Risco: senha trafegando, armazenada e exposta a vazamento.// Depois: OAuth devolve um token escopadoGET /api/calendar/eventsAuthorization: Bearer ya29.a0AfH6SMB...// Sem senha. Sem acesso ao Gmail. Sem acesso ao Drive.// Apenas o escopo calendar.events, com expiração curta.

OAuth funciona em cinco etapas conceituais

  1. 1.A aplicação cliente pede acesso a um recurso protegido
  2. 2.O usuário é redirecionado ao provedor oficial (Google, Microsoft, Slack)
  3. 3.O usuário aprova permissões específicas em uma tela de consentimento
  4. 4.O provedor entrega um access token para o cliente
  5. 5.O cliente usa o token para chamar APIs autorizadas

A senha nunca passa pela aplicação cliente. Esse é o ponto central. Quando você vê integrações que pedem login e senha de uma conta de terceiros, está olhando para um anti-pattern: alguém está reinventando o que OAuth resolveu há 15 anos.

OAuth não substitui boas práticas de segurança da aplicação cliente. Token vazado é acesso vazado. A diferença é que o raio de explosão fica limitado ao escopo aprovado, não à conta inteira.

Você consegue explicar por que OAuth existe, qual problema resolve em relação ao password sharing, e quais ganhos operacionais traz para revogação, MFA e auditoria.

Perguntas frequentes

Preciso saber programar para fazer este curso?
Sim. O curso é nível intermediário e exige base de HTTP (verbos, status codes, headers), JSON e familiaridade com autenticação básica. Os exemplos práticos usam TypeScript/Node.js, mas os conceitos são portáveis para qualquer stack. Não é necessário ser desenvolvedor full-time -- analistas de segurança e arquitetos de solução tiram bom proveito.
OAuth 1.0 ou 2.0 -- qual estudar?
OAuth 2.0. OAuth 1.0 está obsoleto desde 2012 e quase nenhum provedor moderno o suporta. Todo o curso é OAuth 2.0 com extensões atuais (PKCE, refresh token rotation) e OpenID Connect como camada de autenticação. Se você encontrar OAuth 1.0 em algum sistema legado, o caminho é migrar.
Como OAuth se relaciona com SSO/SAML?
SAML é outro padrão de federação, mais antigo e baseado em XML, comum em SSO corporativo legado. OAuth 2.0 + OpenID Connect cobre os mesmos casos com JSON, JWT e fluxos modernos. Provedores como Azure AD e Okta suportam ambos -- escolha OIDC para integrações novas. SAML continua relevante apenas em ambientes onde a stack já está toda montada nele.
Quais provedores OAuth são cobertos no curso?
Os exemplos usam Google (Cloud, Workspace), Slack, GitHub, HubSpot e Microsoft 365 como referências. Os padrões são os mesmos -- conceitos de Authorization Code, escopos, tokens e OIDC funcionam de forma consistente entre provedores. A diferença está no catálogo de escopos e nas ferramentas de governança específicas de cada um.
O curso aborda PKCE e mobile/SPA?
Sim. PKCE (RFC 7636) é coberto no Módulo 2 como obrigatório em todo Authorization Code -- não apenas mobile/SPA. Para SPA, a recomendação atual do OAuth 2.1 é Authorization Code com PKCE + cookies httpOnly do backend, evitando armazenar tokens em localStorage. O Implicit Flow é considerado deprecated e não é coberto no curso.
AC

Alexandre Caramaschi

CEO da Brasil GEO, ex-CMO da Semantix (Nasdaq), cofundador da AI Brasil

Este curso faz parte do material educacional da Brasil GEO. Os exemplos seguem padrões de OAuth observados em postmortems públicos e auditorias reais de portfolio SaaS, para que o aprendizado seja diretamente aplicável em ambientes corporativos.

Próximo passo · plataforma NAIA

Terminou o curso? Execute GEO em escala com a NAIA.

Plataforma de visibilidade algorítmica com análises contínuas em ChatGPT, Gemini, Claude e Perplexity. R$ 99/mês nos primeiros 3 meses com cupom ALE99. Ideal para aplicar o que você aprendeu em OAuth e Autorização Delegada.

Garantir ALE99 por 3 meses→Conhecer a NAIA

Sem cartão para começar · cancele quando quiser · cupom ativo por 3 meses consecutivos

Newsletter GEO

Receba insights sobre visibilidade em IA

Análises semanais sobre GEO, zero-click, Business-to-Agent e como proteger sua receita na era da IA. Sem spam. Cancele quando quiser.

Alexandre Caramaschi

CEO da Brasil GEO, ex-CMO da Semantix (Nasdaq), cofundador da AI Brasil. Consultoria GEO para empresas serem citadas por IA.

GEO e Marketing
  • Insights e Análises
  • Publicações e Artigos
  • Hub Artefacto — Guias e FAQs
  • Metodologia Sprint GEO
  • Cases de Sucesso
Educação
  • 39 Cursos Gratuitos
  • Dashboard do Aluno
  • Roadmap Educacional
  • Análise GEO ao Vivo
  • Cadastro
Ferramentas e Recursos
  • GEO Score
  • Templates GEO
  • GEO Orchestrator
  • Podcast GEO Talk
  • Pesquisa Acadêmica
  • Busca Inteligente
Serviços
  • Sprint GEO Consulting
  • Diagnóstico GEO
  • GEO para SaaS
  • GEO para Consultorias
  • Business-to-Agent (B2A)
  • brasilgeo.ai
Sobre e Institucional
  • Quem é Alexandre Caramaschi
  • Sobre a Brasil GEO
  • Imprensa
  • Press Kit
  • Métricas ao Vivo
  • Mapa do Site
  • llms.txt
Contato e Legal
  • Falar no WhatsApp
  • Email: caramaschiai@caramaschiai.io
  • Diagnóstico gratuito
  • Política de Privacidade
  • Termos de Uso
  • Goiânia, GO — Brasil
Onde me encontrar
  • LinkedIn
  • YouTube
  • GitHub
  • Medium
  • Substack
  • Quora
  • DEV.to
  • Hashnode
Autoridade Acadêmica
  • Publicações e working papers
  • ORCID iD 0009-0004-9150-485X
  • SSRN Author Page
  • Paper Algorithmic Authority (DOI)
  • Wikidata Q138755507
  • Research Dashboard
  • Repositório GitHub (papers)
  • Zenodo Paper (DOI 10.5281/zenodo.19687866)
  • Zenodo Software (DOI 10.5281/zenodo.19687958)
  • Zenodo Profile (open science)
  • Semantic Scholar
  • ResearchGate

© 2026 Alexandre Caramaschi — Proprietário, autor e responsável editorial pelo domínio alexandrecaramaschi.com. CEO da Brasil GEO, ex-CMO da Semantix (Nasdaq), cofundador da AI Brasil. Goiânia, GO, Brasil. ORCID iD 0009-0004-9150-485X · Paper SSRN DOI 10.2139/ssrn.6460680.

Atualizado em abril de 2026.

Continue pela trilha

Mais cursos para você

  • Novo
    Intermediário · ~260 min
    Reddit para GEO: Visibilidade em IA Generativa via Comunidade
    12 módulos sobre Reddit como infraestrutura de descoberta para LLMs. Tese estratégica, mapeamento de subreddits, comentário valioso, AMAs e Reddit GEO Operating System.
  • Novo
    Intermediário · ~240 min
    Wikidata e Wikipedia para GEO
    Mergulho profundo em Wikidata e Wikipedia. Modelo de dados, QIDs, SPARQL, edição ética, Schema.org sameAs e como virar entidade citável por LLMs.
  • Novo
    Todos os níveis · ~280 min
    Glossário Completo de SEO e GEO 2026
    200+ termos de SEO e GEO explicados com profundidade, exemplos práticos e contexto de aplicação. De A/B Testing a Zero-Click, atualizado para 2026.
  • Novo
    Iniciante a Intermediário · ~510 min
    SEO, GEO e IA para Petshops, Agropecuárias e Zootecnia
    Curso completo para donos de petshop, agropecuária e loja de zootecnia. SEO clássico, GEO para ChatGPT e Perplexity, IA generativa aplicada ao balcão, cases reais de Petz, Cobasi, Petlove, Royal Canin, MSD, Zoetis, Vetnil, Cargill Tortuga e Trouw Nutrition, mais bônus com dados econômicos do setor (R$ 77,2 bi ABINPET 2025).
  • Novo
    Intermediário · ~260 min
    Skills de IA com Vibecoding e Terminal
    Construa skills modulares para agentes de IA usando Claude Code, CLAUDE.md, Agent Skills, MCP, OpenClaw e governança RAK. Do manifesto Vibecoding ao capstone publicado no GitHub.