OAuth 1.0 vs OAuth 2.0 - Principais diferenas e as razes para a criao de um novo protocolo de delegao de Credenciais

  • Published on
    28-Aug-2014

  • View
    640

  • Download
    0

DESCRIPTION

OAuth 1.0 vs OAuth 2.0 - Principais diferenas e as razes para a criao de um novo protocolo de delegao de Credenciais

Transcript

Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Joao Alves ISCTE-IUL 15 de Julho de 2011 Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Sumario 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Desde que existem computadores que ha utilizadores e senhas. A gestao de senhas tem sido sempre uma questao complicada, pois na maioria das vezes elas representam o elo mais fraco na cadeia de seguranca. Como demonstrado empiricamente no estudo realizado por Hayashi, todos os participantes, excepto um reutiliza as suas senhas para multiplas contas/sistemas e noutro estudo feito por Gaw onde os participantes relataram ter apenas algumas senhas unicas. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Senhas Schneier escreveu a abordagem tradicional para autenticacao e uma senha. Stallings escreveu A linha de frente de defesa contra intrusos e o sistema de senhas, Schneier destacou que infelizmente, o sistema utilizador/senha funciona pior do as pessoas pensam. Gollmann acredita que com as senhas, tem-se observado um trade-o entre a complexidade das senhas e as faculdades da memoria humana em decora-las. Com base em estudos Gaw demonstra que [...] as taxas de reutilizacao de senhas aumentaram porque as pessoas dispoem de mais contas, mas nao criam mais senhas.. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Senhas Se acrescentarmos a necessidade de dar o nosso proprio utilizador/senha para uma entidade terceira executar uma accao na nossa informacao seria realmente uma ma ideia. O protocolo OAuth vem como solucao para este problema. Este protocolo foi criado como um metodo standard para permitir que os clientes acedam a recursos do servidor, em nome do proprietario de um recurso (o utilizador). Tem a capacidade de fazer isso sem dar ao cliente as credenciais do proprietario do recurso. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Sumario 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes No modelo tradicional de autenticacao cliente-servidor, o cliente usa as suas credenciais para aceder aos seus recursos armazenados pelo servidor. O OAuth introduz um terceiro papel com este modelo: o proprietario do recurso. No modelo OAuth, o cliente (que nao e o proprietario do recurso, mas quem esta a actuar em seu nome) faz pedidos de acesso aos recursos controlados pelo proprietario do recurso, mas armazenado pelo servidor (servidor de recursos protegidos). Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Para que o cliente possa aceder aos recursos, ele primeiro tem de obter permissao do proprietario do recurso. Essa permissao e expressa na forma de um Token e o correspondente segredo partilhado (shared-secret). O objectivo do Token e tornar desnecessaria para o proprietario do recurso a partilha das suas credenciais (utilizador/senha) com o cliente. Ao contrario das credenciais do proprietario do recurso, os Tokens podem ser emitidos com um ambito restrito e vida util limitada, e revogados de forma independente. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Principais Caracteristicas: Desenhado para HTTP Denido no RFC 5849 Baseado em alguns protocolos proprietarios (Google AuthSub, API Flickr e Yahoo BBAuth) Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Ao fornecer um Token e o correspondente segredo partilhado (shared-secret) e possvel para o proprietario do recurso dar acesso a um recurso protegido sem revelar as suas credenciais (utilizador/senha) ao servico nal que vai aceder aos dados (cliente). Para tudo isto e necessario que o servidor de recursos protegidos e o cliente suportem o protocolo OAuth. O Token adiciona uma vantagem adicional para o acesso pretendido, por ser capaz de denir o ambito do acesso e o perodo de tempo no qual e valido. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Papeis Ha tres entidades principais envolvidas numa conversacao OAuth: Proprietario do recurso - o utilizador nal; Cliente - aquele que vai aceder aos recursos, tipicamente um servidor; Servidor de recursos protegidos - o servidor que alberga os recursos do proprietario. Estes papeis sao usados em qualquer transaccao OAuth. Por vezes, o proprietario do recurso e o cliente sao o mesmo. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Tokens e Credenciais O OAuth usa tres tipos de credenciais: Credenciais do Cliente As credenciais do cliente sao usadas para autenticar o cliente. Credenciais de Token As credenciais de Token sao usadas em vez do nome do proprietario dos recursos e da senha. Credenciais temporarias O processo de autorizacao OAuth tambem usa um conjunto de credenciais temporarias que sao usadas para identicar o pedido de autorizacao. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 1.0 A autenticacao OAuth e o processo no qual os utilizadores concedem acesso aos seus recursos protegidos sem partilhar as suas credenciais com o cliente. O OAuth usa Tokens gerados pelo Servidor de recursos protegidos em vez de credenciais do utilizador em pedidos de recursos protegidos. O processo utiliza dois tipos de Token: Tokens de pedido e Tokens de acesso. Token de pedido Utilizado pelo cliente para pedir ao utilizador para autorizar o acesso aos recursos protegidos. Token de Acesso Utilizado pelo cliente para aceder aos recursos protegidos em nome do utilizador. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 1.0 Processo de Autenticacao Todos os pedidos baseados em OAuth sao muito parecidos. Esta a ser identicado um recurso para o qual se quer fazer um pedido, e construda uma cadeia (string) que descreve o pedido e as suas credenciais para faze-lo, e entao a cadeia (string) e assinada usando um conjunto de segredos. E como enderecar uma carta onde o endereco e o carimbo nao descrevem apenas o destino, mas tambem o conteudo. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 1.0 Ciclo do pedido OAuth: 1 E pedido um Token de pedido e e especicado o seu retorno; 2 O utilizador e redireccionado para o ecra de autorizacao (no Servidor de recursos protegidos); 3 Podera neste momento receber uma chamada de retorno numa URL que foi especicada em 1, ou o membro digita um codigo PIN (autenticacao out-of-band); 4 Pedir Token de acesso; 5 Fazer chamadas `a API do Servidor de recursos protegidos. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 1.0 Figura: Fluxo de Autenticacao OAUTH 1.0a Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Problemas com o OAuth 1.0 Conversacao criptograca complexa A forma como o OAuth 1.0 e implementado torna a criacao de scripts complexa devido `a conversacao criptograca envolvida na negociacao do Token. suporte de aplicacoes nao-web E necessario encaminhar o utilizador para abrir o browser para o servico desejado, autenticar com o servico, e copiar o Token do servico de volta para a aplicacao. Perodo de vida longo dos Tokens Os Tokens gerados por esta versao tem um perodo de vida longo e poderao ser usados por um longo perodo de tempo. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Problemas com o OAuth 1.0 Parsing complicado Uma vez que esta versao do protocolo pode ser implementada usando HTTP nao criptografado, e necessario que a aplicacao use hashs Token HMAC e cadeias de pedidos. Para o protocolo funcionar e igualmente necessario fazer um conjunto especial de accoes (parsing) que apresentam uma complexidade elevada. Problemas de Escalabilidade A escalabilidade e complexa devido `a existencia de um processo de gestao do estado do protocolo nas diferentes etapas, com credenciais temporarias e de acesso que possivelmente requerem a emissao de credenciais de longa duracao, que sao menos seguras e mais difceis de gerir (e sincronizar em grandes ambientes). Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Problemas com o OAuth 1.0 Alem disso, o OAuth 1.0 requer que os pontos terminais protegidos dos recursos tenham acesso `as credenciais do cliente, a m de validar o pedido. Isto impossibilita a arquitectura tpica da maioria dos grandes fornecedores em que um servidor centralizado de autorizacao e usado para a emissao de credenciais, e um servidor separado e usado para chamadas de API. O OAuth 1.0 requer o uso dos dois conjuntos de credenciais: as credenciais do cliente e as credenciais Token o que faz com que essa separacao seja muito complexa. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Sumario 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Principais caracteristicas: Protocolo novo incompativel com o 1.0; E o resultado de um trabalho colaborativo de um grande numero de empresas como Yahoo, Facebook, Salesforce, Microsoft, Twitter, Deutsche Telekom, Intuit, Mozilla e Google; Adopcao rapida desta tecnologia por parte de Facebook, Twitter e Google; Ainda nao se encontra na sua versao nal. No momento em que foi escrito este artigo, o protocolo ainda estava em desenvolvimento sendo ainda um projecto IETF-draft. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Quatro areas gerais onde mudou: O SSL passou a ser necessario em todas as comunicacoes quando e necessario para gerar o Token; As assinaturas nao sao necessarias para as chamadas `a API a partir do momento que o Token e gerado; Apenas um Token de seguranca, e a assinatura nao e necessaria; A separacao de proprietario de recursos e servidor de autorizacao e clara. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Alem de implementar todas as boascaractersticas de 1.0 sao criadas algumas novas: Seis novos uxos; Tokens Bearer; Assinaturas simplicadas; Tokens de curta duracao com autorizacoes de vida longa; Separacao de Papeis Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Seis novos uxos User-Agent - para clientes que sao executados dentro de um agente de utilizador (geralmente um browser web). Web Server - para clientes que fazem parte de uma aplicacao de servidor web, acessvel atraves de solicitacoes HTTP. Dispositivo - para clientes executados em dispositivos limitados - requer acesso independente a um browser. Utilizador e Senha - utilizado nos casos em que o utilizador cona no cliente para lidar com as suas credenciais. Credenciais clientes - o cliente usa suas credenciais para obter um Token de acesso. Armacao (assertion) - o cliente apresenta uma armacao SAML para o servidor de autorizacao. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Tokens Bearer Opcao sem criptograa para autenticacao, que se baseia na arquitectura existente cookie de autenticacao. Em vez de enviar os pedidos assinados com segredos e HMAC Token, o Token e usado como um segredo e enviado atraves de SSL. Outros tipos de Tokens MAC - e equivalente ao esquema de Token no OAuth 1.0 SAML - usa armacoes SAML 2.0 em cada pedido como uma forma de estabelecer a identidade do cliente. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Assinaturas Simplicadas O Suporte `a assinatura foi signicativamente simplicado para remover a necessidade de tratamento especial, codicacao e classicacao dos parametros. Tokens de curta duracao com autorizacoes de vida longa Em vez de emitir um Token de longa duracao (normalmente por um ano ou eterno), o servidor pode emitir um Token de acesso de curta duracao e uma vida longa do Token de actualizacao. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Separacao de papeis O OAuth 2.0 separa o papel do servidor de autorizacao responsavel pela obtencao da autorizacao do utilizador e a emissao de Tokens do servidor de recursos que trata das chamadas `a API. Assim, e em contraponto com o OAuth 1.0 existem claramente quatro papeis: Proprietario do recurso - o utilizador nal; Cliente - aquele que precisa de aceder aos recursos, tipicamente um servidor; Servidor de recursos protegidos - o servidor que alberga os recursos do proprietario; Servidor de Autorizacao - o servidor que emite os Tokens para o Cliente. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 2.0 Figura: OAuth 2.0 Protocol FLOW Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conversacao OAuth 2.0 O processo de conversacao do protocolo pode ser descrito em seis passos: (A) O cliente solicita autorizacao ao proprietario do recurso. (B) O cliente recebe uma concessao de autorizacao, que representa a autorizacao fornecida pelo proprietario do recurso. (C) O cliente solicita um Token de acesso autenticando-se junto do servidor com a concessao de autorizacao. (D) O servidor de autorizacao autentica o cliente e valida a concessao de autorizacao, e se esta for valida emite o Token de acesso. (E) O cliente pede o recurso protegido ao servidor de recursos protegidos e autentica-se com o Token de acesso. (F) O servidor de recursos valida o Token de acesso, e se for valido, serve o pedido. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Sumario 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Problemas potenciais: Ataques de Phishing CSRF, o Clickjacking Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Sumario 1 Introducao Senhas 2 O protocolo OAuth 1.0 Papeis Tokens e Credenciais Conversacao OAuth 1.0 Problemas com o OAuth 1.0 3 O protocolo OAuth 2.0 Conversacao OAuth 2.0 4 Problemas potenciais 5 Conclusoes Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conclusoes Neste momento, e atendendo a que o OAuth 2.0 ainda nao e um standard, as implementacoes que estiverem a ser desenvolvidas devem car preparadas para serem ajustadas `a medida que os servidores de recursos protegidose as APIs forem actualizando o protocolo de acordo com a evolucao do draft. Por outro lado, a necessidade de utilizar um ou outro protocolo esta sempre dependente do que os grandes players da Internet disponibilizam e se os servicos que se pretende consumir suportam um protocolo ou outro. A ttulo de exemplo o Twitter, o Facebook e o Google ja disponibilizam servicos suportados somente em 2.0. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Conclusoes Caso seja necessario implementar as componentes de servidor de recursos protegidos e servidor de autorizacao (caso seja um servico na rede) faz todo o sentido usar o OAuth 2.0 dada a esperada longividade que este ira ter face ao 1.0. O grau de maturidade do draft analisado o draft-ietf-oauth-v2-18 apresenta ja um aspecto bastante proximo do que sera o protocolo nal publicado em RFC, cando ainda por claricar alguns aspectos como o Registo dos Clientes, a denicao do URI de redireccionamento ou a denicao de tipos de endpoints de autorizacao. Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais. Sumario Introducao O protocolo OAuth 1.0 O protocolo OAuth 2.0 Problemas potenciais Conclusoes Obrigado. Questoes? Joao Alves ISCTE-IUL OAuth 1.0 vs OAuth 2.0 - Principais diferencas e as razoes para a criacao de um novo protocolo de delegacao de credenciais.