Bienvenida e introducción
Qué aprenderás sobre autenticación con OAuth
Stack de seguridad para aplicaciones modernas
Autenticación
Autorización
JSON Web Tokens
JSON Web Tokens
Autenticación tradicional vs JWT
Configuración inicial de los proyectos
Firmando un JWT
Verificando nuestro JWT firmado y buenas practicas con JWT
Server-Side vs Client-Side sessions
Protegiendo nuestros recursos con JWT
Habilitando CORS en nuestro servidor
Profundizando el concepto de JWKS
OAuth 2.0
Cómo elegir el flujo adecuado para OAuth 2.0
¿Qué es OAuth 2.0?
Conociendo el API de Spotify
Creando los clientes de Spotify y servicios iniciales
Implementando Authorization Code Grant
Usando nuestro access token para obtener nuestros recursos
Implementando Implicit Grant
Implementando nuestro servicio de autenticación
Modificando nuestro Layout
Implementando Client Credentials Grant
Implementando Resource Owner Password Grant
Implementando Authorization Code Grant (PKCE)
Open ID Connect
¿Qué es OpenID Connect?
Implementando OpenID Connect
Preocupaciones con JWT y OAuth 2.0
¿Cuáles son las preocupaciones con JWT?
¿Cuáles son las preocupaciones con OAuth 2.0?
Haciendo uso de Auth0
¿Qué es Auth0?
Auth0 Lock y auth0.js
Universal Login
Social Login con Auth0
Custom Social connection con Spotify
Multifactor authentication
Authorization Extension en Auth0
Cierre del curso
Cierre del curso
Consideraciones para producción
Buenas prácticas para el despliegue en producción
Uso de diferentes tenants para producción con Auth0
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Para generar y firmar un JWT de manera simétrica vamos a instalar las siguientes dependencias:
npm i -S express dotenv jsonwebtoken body-parser
La librería dotenv nos permite crear archivos .env con la información que no podemos publicar de nuestro proyecto, por ejemplo, la llave secreta de nuestro JWT. Por otra parte, la librería jsonwebtoken nos permite firmar nuestros tokens de manera simétrica.
Con nuestras dependencias instaladas y los archivos .env configurados, podemos programar nuestra aplicación, en esta clase vamos a crear un endpoint /api/auth/token donde debemos generar un token de usuario utilizando el método jwt.sign().
Aportes 18
Preguntas 5
Sólo una acotación.
Las versiones recientes de express, incorporan un middleware llamado “json”, por lo cual no sería necesario instalar al proyecto la dependencia “body-parser”. Lo pueden utilizar de la siguiente forma:
const express = require(“express”);
const app = express();
app.use(express.json());
Saludos!
Puedes generar la cadena de 256 bit aquí en la opción SHA 256-bit Key
Generar AUTH_JWT_SECRET rápido y fácil en Linux
echo $(date) "$RANDOM" | sha256sum
Este curso está bueno para aquello dedicados a la programación, o quienes se enfocarán en servicios. Para hacking ético, debería hacerse un curso de Autenticación OAuth cuyo proyecto sea el hackeo de los tokens. Que todo lo explicado se oriente a:
Ir al Api
Construirlo desde cero
ver de que librerias depende
implementar
npm i -S express dotenv jsonwebtoken body-parser
dotenv: Donde se registra el secret
jsonwebtoken : Es la libreria que permite firmar y verificar el JWT
body_parser: Leer el body tipo jason del usuario que comparte el token
Esto se debe correr dentro del API
Se crea archivo .gitgnore para no enviar los archivos .env y la carpeta node_modules sea enviados al repositorio
se crea archivo .env.example y en el se crea la variable AUTH_JWT_SECRET=
Se copia el archivo .env.example y lo renombramos como .env
Se crea la carpeta config y dentro de ella requerimos la libreria dotenv y dentro de ella metemos la variable de entorno authJwtSecret
Hay manera de generar un refresh token en un JWT ?
En los enlaces de la clase pasada Guillermo compartio esta website https://keygen.io/#fakeLink para generar las cadenas de 256. SHA 256-bit Key
Salio a la primera… Excelente explicación 😃
{
"acess_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJuYWRpcnMxNCIsImVtYWlsIjoibmFkaXJzczE0QGdtYWlsLmNvbSIsIm5hbWUiOiJOYWRpciBTb3phIiwiaWF0IjoxNTU4OTg0NTg5fQ.BHWCn5DEe9qRQ-mi secreto"
}
Los hashes son funciones no reversibles y que permiten generar una secuencia de bits a partir de una entrada, por tanto se supone son funciones unidireccionales es decir que a partir de hash no debería ser posible la obtención del contenido que genero ese hash, sin embargo, entre los métodos que se usan para vulnerarlos son: La fuerza bruta generar hashes con diferentes cadenas hasta encontrar la coincidencia de hashes o las tablas ya generadas donde se busca el hash previamente generado.
me genera error al hacer el post
Error: secretOrPrivateKey must have a value<br> at Object.module.exports [as sign] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/jsonwebtoken/sign.js:107:20)<br> at /mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/index.js:13:23<br> at Layer.handle [as handle_request] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/layer.js:95:5)<br> at next (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/route.js:137:13)<br> at Route.dispatch (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/route.js:112:3)<br> at Layer.handle [as handle_request] (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/layer.js:95:5)<br> at /mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:281:22<br> at Function.process_params (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:335:12)<br> at next (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/express/lib/router/index.js:275:10)<br> at jsonParser (/mnt/c/Users/luisk/OneDrive/Documents/Platzi/OAuth/platzi-autenticacion-configuracion-inicial-de-los-proyectos/api/node_modules/body-parser/lib/types/json.js:119:7)</pre>
Que es el valor “iat”: ####### que apareció dentro de mi payload al hacer el debuger de mi token
Como puedo escribir
require('dotenv').config()
const config = {
authJwtSecret: process.env.AUTH_JWT_SECRET
}
module.exports = { config }
en ES6
mano a la obra!!
Muy interesante.
Agregue esta linea para poder parsear el body del request: app.use(bodyParser.urlencoded({ extended: true }));
¿LLamar al token devuelto “access_token” es algún tipo de estándar?
Donde puedo generar una cadena aleatoria de 256 byte ?
Simpre se utiliza la misma AUTH_JWT_SECRETo como puede dinamizarse esto ?
Los aportes, preguntas y respuestas son vitales para aprender en comunidad. Regístrate o inicia sesión para participar.