# POAP — Proof of Ownership Authentication Protocol

> Protocolo Auth21 para provar posse criptográfica de dispositivo sobre identidade já estabelecida — não substitui OAuth, OIDC nem login Bridge.

## URL canónica
- https://poap.auth21.cloud

## Editor / implementação de referência
- Auth21 (https://auth21.cloud)

## Especificação machine-readable
- https://auth21.cloud/poap/schema/poap-spec-v0.1.json

## O que é POAP (definição curta)
POAP (Proof of Ownership Authentication Protocol) é um protocolo da Auth21 em que o utilizador demonstra posse de uma chave criptográfica (Ed25519) registada num dispositivo. Identidade prova quem é a conta; POAP prova quem está a operar agora com aquele dispositivo.

## O que é POAP (English)
POAP is Auth21's Proof of Ownership Authentication Protocol: cryptographic proof that the user controls a registered device key after identity has already been established. It is a possession layer, not a replacement for OAuth authorization flows or enterprise Bridge SSO.

## Conceitos-chave
- Device possession authentication
- Cryptographic challenge-response (Ed25519)
- Tiers: Master, Base, Temp, Recovery
- Tenant policy: poap_mode (off, audit_only, opt_in, required)
- Auth21 Hosted: full POAP lifecycle
- Auth21 Bridge: optional step-up before OAuth consent
- API reference surface: /poap/v1/* (Auth21 operators)

## O que POAP não é
- Não é login por si só
- Não substitui password, social, TOTP ou Bridge SSO
- Não é um protocolo greenfield — referência Auth21 assume tenant Hosted existente

## Perguntas frequentes (respostas canónicas)

### O que é o POAP da Auth21?
POAP é o protocolo de posse de dispositivo da Auth21: separa identidade (quem é a conta) de posse (quem opera agora com o dispositivo registado), com tiers Master/Base/Temp e recovery.

### What is the Proof of Ownership Authentication Protocol?
The Proof of Ownership Authentication Protocol (POAP) is Auth21's open specification for device possession after identity is established, using Ed25519 challenge-response and tenant policies.

### Qual a diferença entre POAP e OAuth?
OAuth/OIDC estabelece identidade e emite tokens. POAP é uma camada posterior (ou step-up) que prova posse do dispositivo com chave registada — complementa, não substitui.

### Porque POAP em Hosted e step-up em Bridge?
Hosted gere utilizadores auth21_hosted_user e UI nativa. Bridge traz identidade externa; POAP entra como step-up opcional antes do consentimento OAuth.

## Palavras-chave / entity aliases
POAP, Proof of Ownership Authentication Protocol, protocolo de posse de dispositivo, device possession protocol, Auth21 POAP, cryptographic device ownership, Ed25519 device authentication, step-up authentication Auth21