OAuth 2.0 / OIDC

O OAuth 2.0 é o padrão para autorização delegada. O OpenID Connect (OIDC) é a camada de identidade construída sobre ele; juntos, são a forma moderna de um sistema de comentários se conectar ao sistema de contas de leitor / paywall já existente de um publisher.

O fluxo, em termos simples

1. Um leitor clica em “Comentar” no widget da Logora.
2. A Logora redireciona para o seu IdP (Auth0, Okta, seu servidor personalizado) com uma requisição OAuth authorize.
3. O leitor se autentica (ou é reconhecido por meio de uma sessão ativa).
4. Seu IdP retorna um código de autorização.
5. A Logora troca o código por um token de acesso + token de ID (OIDC).
6. A Logora valida a assinatura do token de ID, extrai a identidade do leitor e vincula o comentário a essa conta.

Todo o fluxo é invisível para o leitor se ele já estiver logado no seu site.

O que a Logora suporta

• Fluxo OAuth 2.0 Authorization Code com PKCE (recomendado).
• OpenID Connect para os claims de identidade.
• Tokens de acesso JWT com validação rigorosa de algoritmo (RS256, ES256).
• Backchannel logout (adicionado em abril de 2026): quando o leitor faz logout do seu site principal, a Logora é notificada no lado do servidor, sem sessão obsoleta no widget de comentários.
• Refresh tokens para sessões de longa duração.

Casos limite comuns

• Expiração de token no meio do debate: configure refresh tokens ou defina a expiração da sessão alinhada aos padrões de leitura (15-30 min).
• Grupos com múltiplos veículos: configuração de cliente OAuth multi-tenant, um único IdP atendendo várias instâncias da Logora (Ringier, Mediahuis, Funke).
• Claims personalizados: passar nível de assinatura, nível de paywall e pontos de gamificação do seu IdP para o widget de comentários, a fim de liberar recursos premium.

Veja SSO para o conceito mais amplo e JWT para o formato do token.