Um serviço da web RESTful autentica solicitações antes de en...

Próximas questões
Com base no mesmo assunto
Q2098317 Segurança da Informação
Um serviço da web RESTful autentica solicitações antes de enviar uma resposta, usando métodos de autenticação. O método que combina senhas e tokens para acesso de login seguro, no qual primeiro o servidor solicita uma senha e, depois, um token adicional para concluir o processo de autorização, é o
Alternativas

Gabarito comentado

Confira o gabarito comentado por um dos nossos professores

Alternativa correta: E - OAuth.

Vamos entender o tema abordado pela questão. A questão trata dos métodos de autenticação utilizados por serviços web RESTful. Esses serviços precisam garantir que as solicitações recebidas sejam de usuários ou sistemas autorizados antes de enviar uma resposta. Para isso, utilizam-se diferentes métodos de autenticação.

Agora, vamos discutir a alternativa correta e as incorretas.

OAuth: O OAuth é um protocolo aberto que permite a autorização segura em um método simples e padronizado. Ele combina senhas e tokens para acesso seguro, onde o servidor inicialmente solicita uma senha e, posteriormente, um token adicional para concluir o processo de autorização. Essa combinação de senha e token é essencial para fornecer um nível adicional de segurança, reduzindo os riscos associados ao uso de apenas um fator de autenticação. Portanto, a alternativa E está correta.

Alternativas incorretas:

A - API Key Security: Este método utiliza chaves de API (API Keys) para autenticação, mas não envolve o uso de uma senha seguida por um token adicional. As chaves de API são geralmente usadas para identificar o chamador da API e conceder acesso com base em permissões pré-definidas, mas não fornecem o mesmo nível de segurança que a combinação de senha e token.

B - RSA Authentication: A autenticação RSA é um método que utiliza criptografia assimétrica, baseado em chaves públicas e privadas. Embora seja um método seguro de autenticação, ele não descreve o processo de solicitar primeiro uma senha e depois um token adicional, conforme mencionado na questão.

C - Webhook: Webhooks são um método para permitir que um aplicativo forneça informações em tempo real para outros aplicativos. Eles não são um método de autenticação, mas sim uma maneira de enviar dados a outro sistema assim que um evento ocorre. Portanto, não se encaixam na descrição da autenticação solicitada pela questão.

D - Swagger SSO: Swagger é uma ferramenta para documentar APIs RESTful, e o SSO (Single Sign-On) é uma técnica de autenticação que permite que um usuário faça login uma vez e acesse múltiplos sistemas sem precisar se autenticar novamente. No entanto, o nome Swagger SSO não é reconhecido como uma técnica de autenticação padrão e não se refere ao processo descrito na questão.

Espero que essa explicação tenha ajudado a esclarecer o tema da questão e as razões pelas quais a alternativa E é a correta. Se precisar de mais alguma ajuda, estou à disposição!

Clique para visualizar este gabarito

Visualize o gabarito desta questão clicando no botão abaixo

Comentários

Veja os comentários dos nossos alunos

https://www.ibm.com/docs/pt-br/acvfc?topic=endpoint-tutorial-securing-api-by-using-oauth-20

OAuth, which stands for "Open Authorization," is a decentralized authorization protocol that facilitates secure and seamless third-party access to protected resources without requiring the sharing of sensitive credentials. Operating within the realm of delegated authorization, OAuth employs a token-based mechanism to enable authorized entities, often referred to as "clients," to attain limited, scoped access to a user's resources hosted on a "resource server."

The OAuth workflow entails a series of meticulously orchestrated interactions between the involved parties, including the "resource owner" (the user), the "authorization server" (responsible for authenticating the user and generating authorization tokens), the "resource server" (housing the user's resources), and the "client" (the application seeking access to the resources).

Imagine que você é um usuário do Facebook e deseja acessar um aplicativo de terceiros, como um jogo ou um serviço de streaming. Você não quer fornecer sua senha do Facebook para o aplicativo, pois isso seria um risco de segurança.

O OAuth é um protocolo que permite que você conceda acesso a um aplicativo de terceiros sem fornecer sua senha. O protocolo funciona da seguinte forma:

  1. O aplicativo solicita acesso ao seu perfil do Facebook.
  2. Você é redirecionado para o Facebook para autenticar-se.
  3. O Facebook gera um token de acesso para o aplicativo.
  4. O aplicativo usa o token de acesso para acessar seu perfil do Facebook.

A analogia mais simples para o OAuth é a seguinte:

Imagine que você é o dono de uma casa e deseja permitir que um amigo visite. Você não quer dar a ele a chave da sua casa, pois isso seria um risco de segurança.

Você pode, em vez disso, dar ao seu amigo um bilhete de visita. O bilhete de visita contém o seu nome e endereço, mas não a chave da sua casa.

Quando o seu amigo chega à sua casa, ele mostra o bilhete de visita ao seu porteiro. O porteiro verifica o bilhete de visita e, se estiver tudo certo, permite que o seu amigo entre.

No caso do OAuth, o token de acesso é como o bilhete de visita. Ele contém informações sobre o usuário, mas não a senha do usuário.

O OAuth é um protocolo seguro e eficiente que permite que os usuários compartilhem acesso a seus dados sem comprometer sua segurança.

Fonte: Bard

Clique para visualizar este comentário

Visualize os comentários desta questão clicando no botão abaixo