No tienes acceso a esta clase

隆Contin煤a aprendiendo! 脷nete y comienza a potenciar tu carrera

JWT: Gesti贸n de acceso

7/29
Recursos

Aportes 20

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad?

o inicia sesi贸n.

Anatom铆a de un JWT

JWT es un est谩ndar de la industria que nos permite manejar demandas de informaci贸n entre dos clientes.
.
Un JSON Web Token es un estandar que nos permite generar demandas entre 2 clientes de manera segura.
Un JWT est谩 encriptado, pero tiene 3 partes principales divididas por 鈥.鈥 (punto)

  1. Header: Contiene los archivos de configuraci贸n (el tipo y el algoritmo de encriptaci贸n)
  2. Payload: Guarda la informaci贸n de nuestros usuarios
  3. Signature: es la firma que contiene el header c贸dificado m谩s el payload c贸dificado, para poder dar acceso a un contenido, 茅ste deber谩 de ser firmado con un secret, que es la clave secreta con la que se firman los tokens, misma que s贸lo la deber谩 de conocer el backend.

Dentro del payload tenemos informaci贸n que puede ser relevante para la autorizaci贸n tal como:

  • La expiraci贸n
  • Id鈥檚
  • Nombres
  • etc
    .
    Es importante saber que los JWT acabar谩n firmando mucha parte de la comunicaci贸n, por lo que no es recomendable que mucha informaci贸n viaje, 茅sto puede acabar alentando tu aplicaci贸n.

Platzi tiene un curso muy bueno en d贸nde hablan a profundidad de JWT. Recomendado: https://platzi.com/clases/1439-autenticacion-oauth/15810-json-web-tokens5758/

normalmente lo que uno hace en el frontend es guardar el token en localstorage. Pero que pasa si alguien abre la consola del navegador y extrae el token guardado? asi de facil puede robarte tu identidad, mas alla del tiempo de vida del token nunca supe como resolver ese peque帽o detalle de seguridad鈥lgun iluminado?

En el minuto 2 se menciona que la informaci贸n que va en el token no se puede leer, si no, solamente el backend, pero aportando un poco, es posible ver lo que esta en el payload de un token sin tener el secret, lo que no es posible es hacer cambios en el token y frmarlo.

Tener cuidado en el token no se debe poner informaci贸n sensible, ya que si se puede leer.

En el minuto 3 aproximadamente se equivoca al decir algoritmo HB265, cuando es HB256

Sin duda el mejor curso de Platzi hasta la fecha, nunca me habia sentido tan motivado y feliz con un curso.

鈥楴o reinventes la rueda鈥 usar algo que alguien ya ha creado para la encriptaci贸n y seguridad: Esto no es inseguro?

Cuidado que el contenido del token si se puede leer, lo que no se puede hacer es modificarlo sin el secret.

Entonces donde se recomienda guardar ese secreto? sino es en el c贸digo?

  • Autenticaci贸n -> Va a decir qui茅n eres t煤. Es gen茅rica y global.
  • Gesti贸n de permisos -> Va a decir qu茅 puedes hacer. Depende del componente, archivo, contexto, etc.

Especialmente en seguridad: NO reinventes la rueda.

JWT: est谩ndar para la creaci贸n de tokens de acceso.

Super genial el curso!

Excelente curso! 馃槃

JWT vs OAuth 2.0 ? JWT ayuda con la autenticaci贸n y OAuth 2.0 los permisos? no estoy muy seguro.

Genial

Excelente 馃槂

Mucho valor en los cursos de este profesor, genial.

No es el algoritmo HB265 cuando es HB256