Bienvenida e introducci贸n

1

Qu茅 aprender谩s sobre autenticaci贸n con OAuth

2

Stack de seguridad para aplicaciones modernas

3

Autenticaci贸n

4

Autorizaci贸n

JSON Web Tokens

5

JSON Web Tokens

6

Autenticaci贸n tradicional vs JWT

7

Configuraci贸n inicial de los proyectos

8

Firmando un JWT

9

Verificando nuestro JWT firmado y buenas practicas con JWT

10

Server-Side vs Client-Side sessions

11

Protegiendo nuestros recursos con JWT

12

Habilitando CORS en nuestro servidor

13

Profundizando el concepto de JWKS

OAuth 2.0

14

C贸mo elegir el flujo adecuado para OAuth 2.0

15

驴Qu茅 es OAuth 2.0?

16

Conociendo el API de Spotify

17

Creando los clientes de Spotify y servicios iniciales

18

Implementando Authorization Code Grant

19

Usando nuestro access token para obtener nuestros recursos

20

Implementando Implicit Grant

21

Implementando nuestro servicio de autenticaci贸n

22

Modificando nuestro Layout

23

Implementando Client Credentials Grant

24

Implementando Resource Owner Password Grant

25

Implementando Authorization Code Grant (PKCE)

Open ID Connect

26

驴Qu茅 es OpenID Connect?

27

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

28

驴Cu谩les son las preocupaciones con JWT?

29

驴Cu谩les son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

30

驴Qu茅 es Auth0?

31

Auth0 Lock y auth0.js

32

Universal Login

33

Social Login con Auth0

34

Custom Social connection con Spotify

35

Multifactor authentication

36

Authorization Extension en Auth0

Consideraciones para producci贸n

37

Buenas pr谩cticas para el despliegue en producci贸n

38

Uso de diferentes tenants para producci贸n con Auth0

Cierre del curso

39

Cierre del curso

Stack de seguridad para aplicaciones modernas

2/39
Recursos

La seguridad 鈥溾渃l谩sica鈥濃 se basa en redes conectadas a una intranet, todos los conceptos y protocolos que manej谩bamos se limitan a controlar la seguridad en intranets.

Todo esto cambio gracias a la revoluci贸n m贸vil y a las arquitectura de aplicaciones basadas en microservicios: en vez de conectarnos a servicios internos de nuestras compa帽铆as, nuestros dispositivos se conectan a internet, una red publica que deja fuera los controles de seguridad que sol铆amos utilizar para controlar redes privadas.

El nuevo stack de tecnolog铆as para controlar la seguridad de nuestras aplicaciones se compone principalmente de los siguientes est谩ndares:

  • JSON Web Tokens (JWT): Aunque existen muchas alternativas, este est谩ndar propone utilizar tokens cifrados con las credenciales de autenticaci贸n de los usuarios en vez de guardar estos estados con cookies en los servidores. Por esto mismo los JWT son bastante compatibles con APIs RESTful.
  • OAuth 2.0: Es un flujo de autorizaci贸n (recuerda que autenticaci贸n y autorizaci贸n son conceptos relacionados pero diferentes) que, por ser un est谩ndar, nos permite aprenderlo y manejar los mismos pasos para delegar permisos en diferentes aplicaciones.
  • OpenID Connect: Es un est谩ndar de identificaci贸n digital basado en OAuth 2.0, nos permite identificar usuarios ende una p谩gina web a trav茅s de URLs que podemos verificar con cualquier servidor que soporte el protocolo.

Aportes 19

Preguntas 3

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Les dejo un video que me gusto donde explican y muestran la diferencia entre OAut 2.0 y OpenIDConnect

Youtube

鈥淯na intranet es una red inform谩tica que utiliza la tecnolog铆a del protocolo de Internet para compartir informaci贸n, sistemas operativos o servicios de computaci贸n dentro de una organizaci贸n. Suele ser interna, en vez de p煤blica como internet, por lo que solo los miembros de esa organizaci贸n tienen acceso a ella.鈥 馃檮

Los tokens de acceso se utilizan en la autenticaci贸n basada en tokens para permitir que una aplicaci贸n acceda a una API. La aplicaci贸n recibe un token de acceso despu茅s de que un usuario autentica y autoriza el acceso con 茅xito, luego pasa el token de acceso como una credencial cuando llama a la API de destino. El token pasado informa a la API que el portador del token ha sido autorizado para acceder a la API y realizar acciones espec铆ficas especificadas por el alcance otorgado durante la autorizaci贸n.

Fuente: https://auth0.com/docs/tokens/access-tokens

Soy sincero, me ha costado entender los conceptos y me gustar铆a de ser posible me corrijan si me equivoco

El Stack de seguridad de aplicaciones modernas, esta impulsado por la necesidad de tener control sobre la Autenticaci贸n y Autorizaci贸n de los usuarios de las aplicaciones m贸viles conectadas por Internet basadas en la arquitectura de microservicios, proporcionando as铆 la seguridad que antes se tenia con las Intranet

El stack moderno esta compuesto por
JWT (JSON Web Tokens) uso de tokens cifrados Para Autenticaci贸n
OAuth 2.0 Para Autorizaci贸n
OpenIDConnet Para Identificaci贸n

Es correcto?

Hola! Me est谩 costando entender la diferencia entre 鈥淥Auth 2.0鈥 y 鈥淥penID Connect鈥. En t茅rminos generales percibo lo siguiente:
OpenID Connect --> Para autenticaci贸n.
Oauth 2.0 --> Para autorizaci贸n.

Sin embargo, en videos posteriores se ve como se usa la api de Spotify a trav茅s de Oauth, pero me parece que impl铆citamente tambi茅n se realiza la autenticaci贸n no?

驴Podr铆an ayudarme con un ejemplo como diferenciar ambas tecnolog铆as?

Gracias!

Genial!!!

Autenticacion y autorizacion son dos cosas diferentes pero que estan muy relacionadas

Exelente ifo

Interesante Curso!

Entre OAuth 2.0 y Keycloak que es mas recomendable? Saludos y gracias!

驴Que significa que RESTful no deba tener estado? en el min 2:10 aprox el profesor lo menciona, pero no me queda nada claro.

隆Empecemos con toda a aprender Autenticaci贸n moderna!

Excelente avanzamos !!

Crei que OAuth, era solo JWT!

Tengo nulo conocimiento de lo que se requiere para el curso, pero est谩 en la ruta de aprendizaje, ya vere como me va.

Autenticaci贸n saber quien eres, autorizaci贸n saber a que recursos tienes acceso

0

Excelente curso. Vamos con toda por este nuevo reto