Autenticação e Autorização

Prévia do material em texto

Autenticação e Autorização 
1.Qual é a diferença conceitual entre Autenticação e Autorização? 
a) Autenticação é o que você pode fazer; Autorização é quem você é. 
b) Autenticação verifica a identidade do usuário (ex: login); 
Autorização verifica as permissões do usuário (ex: o que ele pode 
acessar). 
c) Autenticação é usada apenas em sites; Autorização é usada apenas 
em aplicativos. 
d) Autenticação é feita pelo banco de dados; Autorização é feita pelo 
servidor de e-mail. 
e) Não há diferença; são termos sinônimos em segurança. 
2. No modelo tradicional de "Sessões e Cookies", onde o estado do usuário 
é armazenado? 
a) O estado é armazenado inteiramente no navegador do usuário. 
b) O servidor armazena os dados da sessão (na memória ou banco) e 
envia apenas um ID único para o navegador via Cookie. 
c) O estado é impresso em um arquivo de texto no servidor. 
d) Os dados são guardados em um pendrive conectado ao servidor. 
e) Não há armazenamento; o usuário deve logar em cada clique. 
3. O JWT (JSON Web Token) é um padrão popular para autenticação 
Stateless. Quais são as três partes que compõem um token JWT? 
a) Nome, Senha e Data de expiração. 
b) Header (Cabeçalho), Payload (Dados) e Signature (Assinatura). 
c) Versão, Usuário e Chave mestra. 
d) Login, Token e Logout. 
e) Início, Meio e Fim. 
4. Qual é a principal vantagem do JWT em relação às Sessões tradicionais 
em uma arquitetura de Microsserviços? 
a) O JWT é mais colorido e fácil de ler. 
b) Por ser Stateless, o servidor não precisa consultar um banco de 
sessões; todas as informações necessárias estão dentro do próprio 
token assinado. 
c) O JWT permite que o usuário nunca precise de uma senha. 
d) O JWT reduz a velocidade da internet, tornando o acesso mais 
seguro. 
e) O JWT funciona apenas se o servidor estiver desligado da rede. 
5. Como o servidor garante que um token JWT não foi alterado por um 
hacker após ser emitido? 
a) Através da verificação da Assinatura (Signature) usando uma chave 
secreta que apenas o servidor conhece. 
b) Pedindo para o usuário jurar que não alterou o arquivo. 
c) O JWT muda de cor se for editado no Bloco de Notas. 
d) O token é apagado automaticamente se sair do navegador. 
e) O servidor liga para o usuário para confirmar os dados. 
6. O protocolo OAuth2 é amplamente utilizado para "Login Social" (ex: 
Logar com Google). Qual o seu principal objetivo? 
a) Permitir que um aplicativo acesse recursos de um usuário em outro 
serviço sem que o usuário precise compartilhar sua senha. 
b) Forçar o usuário a criar uma conta em todas as redes sociais. 
c) Enviar anúncios personalizados para o e-mail do usuário. 
d) Deletar a conta do usuário se ele ficar inativo por 30 dias. 
e) Impedir que o usuário use senhas com números. 
7. No OAuth2, o que é o "Access Token" e o "Refresh Token"? 
a) Access Token serve para abrir o site; Refresh Token serve para 
atualizar a página. 
b) Access Token é o token de curta duração para acessar recursos; 
Refresh Token serve para obter um novo Access Token sem pedir 
login novamente. 
c) Access Token é público; Refresh Token é a senha do administrador. 
d) Access Token é para computadores; Refresh Token é para celulares. 
e) São a mesma coisa, apenas com nomes diferentes. 
8. O que define o modelo de controle de acesso RBAC (Role-Based Access 
Control)? 
a) O acesso é liberado com base na localização geográfica do usuário. 
b) As permissões são atribuídas a "Papéis" (ex: Admin, Editor, 
Usuário) e os usuários recebem esses papéis. 
c) O sistema sorteia quem pode acessar o quê toda segunda-feira. 
d) O acesso é liberado apenas para quem paga uma mensalidade. 
e) O usuário precisa pedir autorização por telefone para cada ação. 
9. Qual é o perigo de armazenar senhas em "Texto Puro" (Plain Text) no 
banco de dados e qual a solução recomendada? 
a) O perigo é o banco de dados ficar muito pesado; a solução é apagar 
as senhas. 
b) O perigo é o vazamento de dados expor as senhas reais; a solução 
é usar funções de Hashing (ex: BCrypt, Argon2) com "Salt". 
c) O perigo é o usuário esquecer a senha; a solução é usar apenas o 
primeiro nome. 
d) O perigo é a senha ser muito curta; a solução é obrigar 50 
caracteres. 
e) Não há perigo, pois o banco de dados é privado. 
10. O que é o mecanismo de "Scopes" (Escopos) em autenticação de APIs? 
a) É a luneta usada para vigiar os usuários. 
b) Define os limites de acesso de um token (ex: este token pode "ler" 
perfil, mas não pode "escrever" mensagens). 
c) É a quantidade de memória que o token ocupa no servidor. 
d) É o tempo que o usuário leva para digitar o login. 
e) É a lista de países onde o token funciona.