Bienvenida e introducción

1

Qué aprenderás sobre autenticación con OAuth

2

Stack de seguridad para aplicaciones modernas

3

Autenticación

4

Autorización

JSON Web Tokens

5

JSON Web Tokens

6

Autenticación tradicional vs JWT

7

Configuración inicial de los proyectos

8

Firmando un JWT

9

Verificando nuestro JWT firmado y buenas practicas con JWT

10

Server-Side vs Client-Side sessions

11

Protegiendo nuestros recursos con JWT

12

Habilitando CORS en nuestro servidor

13

Profundizando el concepto de JWKS

OAuth 2.0

14

Cómo elegir el flujo adecuado para OAuth 2.0

15

¿Qué es OAuth 2.0?

16

Conociendo el API de Spotify

17

Creando los clientes de Spotify y servicios iniciales

18

Implementando Authorization Code Grant

19

Usando nuestro access token para obtener nuestros recursos

20

Implementando Implicit Grant

21

Implementando nuestro servicio de autenticación

22

Modificando nuestro Layout

23

Implementando Client Credentials Grant

24

Implementando Resource Owner Password Grant

25

Implementando Authorization Code Grant (PKCE)

Open ID Connect

26

¿Qué es OpenID Connect?

27

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

28

¿Cuáles son las preocupaciones con JWT?

29

¿Cuáles son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

30

¿Qué es Auth0?

31

Auth0 Lock y auth0.js

32

Universal Login

33

Social Login con Auth0

34

Custom Social connection con Spotify

35

Multifactor authentication

36

Authorization Extension en Auth0

Consideraciones para producción

37

Buenas prácticas para el despliegue en producción

38

Uso de diferentes tenants para producción con Auth0

Cierre del curso

39

Cierre del curso

Stack de seguridad para aplicaciones modernas

2/39
Recursos

La seguridad ““clásica”” se basa en redes conectadas a una intranet, todos los conceptos y protocolos que manejábamos se limitan a controlar la seguridad en intranets.

Todo esto cambio gracias a la revolución móvil y a las arquitectura de aplicaciones basadas en microservicios: en vez de conectarnos a servicios internos de nuestras compañías, nuestros dispositivos se conectan a internet, una red publica que deja fuera los controles de seguridad que solíamos utilizar para controlar redes privadas.

El nuevo stack de tecnologías para controlar la seguridad de nuestras aplicaciones se compone principalmente de los siguientes estándares:

  • JSON Web Tokens (JWT): Aunque existen muchas alternativas, este estándar propone utilizar tokens cifrados con las credenciales de autenticación de los usuarios en vez de guardar estos estados con cookies en los servidores. Por esto mismo los JWT son bastante compatibles con APIs RESTful.
  • OAuth 2.0: Es un flujo de autorización (recuerda que autenticación y autorización son conceptos relacionados pero diferentes) que, por ser un estándar, nos permite aprenderlo y manejar los mismos pasos para delegar permisos en diferentes aplicaciones.
  • OpenID Connect: Es un estándar de identificación digital basado en OAuth 2.0, nos permite identificar usuarios ende una página web a través de URLs que podemos verificar con cualquier servidor que soporte el protocolo.

Aportes 19

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

“Una intranet es una red informática que utiliza la tecnología del protocolo de Internet para compartir información, sistemas operativos o servicios de computación dentro de una organización. Suele ser interna, en vez de pública como internet, por lo que solo los miembros de esa organización tienen acceso a ella.” 🙄

Les dejo un video que me gusto donde explican y muestran la diferencia entre OAut 2.0 y OpenIDConnect

Youtube

Soy sincero, me ha costado entender los conceptos y me gustaría de ser posible me corrijan si me equivoco

El Stack de seguridad de aplicaciones modernas, esta impulsado por la necesidad de tener control sobre la Autenticación y Autorización de los usuarios de las aplicaciones móviles conectadas por Internet basadas en la arquitectura de microservicios, proporcionando así la seguridad que antes se tenia con las Intranet

El stack moderno esta compuesto por
JWT (JSON Web Tokens) uso de tokens cifrados Para Autenticación
OAuth 2.0 Para Autorización
OpenIDConnet Para Identificación

Es correcto?

Los tokens de acceso se utilizan en la autenticación basada en tokens para permitir que una aplicación acceda a una API. La aplicación recibe un token de acceso después de que un usuario autentica y autoriza el acceso con éxito, luego pasa el token de acceso como una credencial cuando llama a la API de destino. El token pasado informa a la API que el portador del token ha sido autorizado para acceder a la API y realizar acciones específicas especificadas por el alcance otorgado durante la autorización.

Fuente: https://auth0.com/docs/tokens/access-tokens

Autenticacion y autorizacion son dos cosas diferentes pero que estan muy relacionadas

Hola! Me está costando entender la diferencia entre “OAuth 2.0” y “OpenID Connect”. En términos generales percibo lo siguiente:
OpenID Connect --> Para autenticación.
Oauth 2.0 --> Para autorización.

Sin embargo, en videos posteriores se ve como se usa la api de Spotify a través de Oauth, pero me parece que implícitamente también se realiza la autenticación no?

¿Podrían ayudarme con un ejemplo como diferenciar ambas tecnologías?

Gracias!

Autenticación saber quien eres, autorización saber a que recursos tienes acceso

Genial!!!

Exelente ifo

Interesante Curso!

Entre OAuth 2.0 y Keycloak que es mas recomendable? Saludos y gracias!

¿Que significa que RESTful no deba tener estado? en el min 2:10 aprox el profesor lo menciona, pero no me queda nada claro.

¡Empecemos con toda a aprender Autenticación moderna!

Excelente avanzamos !!

Crei que OAuth, era solo JWT!

Tengo nulo conocimiento de lo que se requiere para el curso, pero está en la ruta de aprendizaje, ya vere como me va.

0

Excelente curso. Vamos con toda por este nuevo reto