OAuth 2.1 es un protocolo de autorización delegada: permite a una aplicación acceder, en nombre de un usuario, a recursos alojados por otro servicio sin comunicarle nunca la contraseña de ese usuario. En su lugar, el servicio de recursos emite un token de acceso (access token) de duración limitada y alcance restringido, que la aplicación presenta en cada petición.
OAuth 2.1 es una consolidación de OAuth 2.0: reúne las buenas prácticas de seguridad acumuladas desde 2012 y hace obligatorias algunas de ellas. Entre estas figuran el uso sistemático de PKCE (Proof Key for Code Exchange) para el flujo authorization code, el abandono de los flujos considerados poco seguros (el flujo implícito y el flujo de contraseña), así como reglas estrictas sobre la coincidencia exacta de las URL de redirección.
El mecanismo se basa en los scopes (ámbitos de autorización), que limitan con precisión lo que el token permite, y en los tokens de actualización (refresh tokens), que renuevan el acceso sin necesidad de reautenticar al usuario. Es el estándar que protege los botones «Iniciar sesión con…» y, en general, el acceso de las aplicaciones de terceros a las API REST.
eyeot implementa OAuth 2.1 con PKCE para autenticar a los agentes y las aplicaciones que interactúan con su interfaz de IA (MCP), como complemento de la gestión de identidades que proporciona SCIM. Este enfoque garantiza que un acceso delegado siga siendo revocable y quede limitado únicamente a las operaciones explícitamente autorizadas.