Multifactor authentication

Clase 35 de 39 • Curso de Autenticación con OAuth

Resumen

Multifactor authentication (tambien conocido como Two Factor Authentication) nos permite configurar nuevos pasos de seguridad además del nombre de usuario y password. Este método consiste en que los usuarios deben escribir un código aleatorio con limite de tiempo que podemos recibir por correo electrónico, mensajes de texto o servicios como Google Authentication.

El desafío de esta clase es configurar un método de autenticación passwordless (como SMS o Email).

Javier Ramos

student•

Ok la recomendación de implementar el Multifactor authentication en los servicios principales como medida adicional de seguridad

Carlos Valdez

student•

En este momento la opción de Google Authenticator no se encuentra disponible, en su lugar esta la opción propia de Auth0 que es Guardian, una vez que lo habiliten deben de marcar la opción de Siempre requerir MFA.

Para que esta opción funcione al usar el Social Login de Google debe de configurarse un ClientID/Secret para acceder a la API de Google ya que de lo contrario, aunque en aplicacion de Auth0 Guardian den el permiso para hacer login, los callback fallaran y marcaran error.

En esta liga podrán ver paso a paso como crear el ClientID/Secret para la API de Google, el cual es el mismo procedimiento que se creo para conexion de Blog.

https://auth0.com/docs/connections/social/google

Claudio Anibal Morales Pérez

student•

No logro implementar el segundo factor de autenticación con Auth0 Guardian, me puedes ayudar?

Carlos Valdez

student•

Si claro, hace rato que no entraba por aca, pero solo dime en que parte vaz y te ayudo en lo que pueda.

Carlos Enrique Ramírez Flores

student•

Ustedes usarían Auth0 para un sistema interno de una empresa? en ese caso yo vería débil la parte de hacer login con una red social o con alguna cuenta externa a la empresa, pero yo veo muchísima seguridad en la parte de Multifactor authentication.

¿ustedes como lo harían?

Irving Caamal

student•

Yo creo que si es factible si no tienes muchos usuarios y creo que puedes quitar las redes sociales y solo no usarlas.

Cristian David Franco Garcia

student•

Upgrade your subscription to our Developer Pro or Enterprise Plan for access to the DUO and One-time Password factors. 😦

Platzi Team

student•

excelente clase lo recomendare en las aplicaciones que estén disponibles.

ALVARO RODRIGUEZ TAMEZ

student•

Muy buena recomendación de uso.

Multifactor authentication

Bienvenida e introducción

Qué aprenderás sobre autenticación con OAuth

Stack de seguridad para aplicaciones modernas

Autenticación

Autorización

JSON Web Tokens

JSON Web Tokens

Autenticación tradicional vs JWT

Configuración inicial de los proyectos

Firmando un JWT

Verificando nuestro JWT firmado y buenas practicas con JWT

Server-Side vs Client-Side sessions

Protegiendo nuestros recursos con JWT

Habilitando CORS en nuestro servidor

Profundizando el concepto de JWKS

OAuth 2.0

Cómo elegir el flujo adecuado para OAuth 2.0

¿Qué es OAuth 2.0?

Conociendo el API de Spotify

Creando los clientes de Spotify y servicios iniciales

Implementando Authorization Code Grant

Usando nuestro access token para obtener nuestros recursos

Implementando Implicit Grant

Implementando nuestro servicio de autenticación

Modificando nuestro Layout

Implementando Client Credentials Grant

Implementando Resource Owner Password Grant

Implementando Authorization Code Grant (PKCE)

Open ID Connect

¿Qué es OpenID Connect?

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

¿Cuáles son las preocupaciones con JWT?

¿Cuáles son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

¿Qué es Auth0?

Auth0 Lock y auth0.js

Universal Login

Social Login con Auth0

Custom Social connection con Spotify

Multifactor authentication

Authorization Extension en Auth0

Consideraciones para producción

Buenas prácticas para el despliegue en producción

Uso de diferentes tenants para producción con Auth0

Cierre del curso

Cierre del curso