A煤n no tienes acceso a esta clase

Crea una cuenta y contin煤a viendo este curso

JWT: Gesti贸n de acceso

7/29
Recursos

Aportes 17

Preguntas 2

Ordenar por:

驴Quieres ver m谩s aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesi贸n.

Anatom铆a de un JWT

JWT es un est谩ndar de la industria que nos permite manejar demandas de informaci贸n entre dos clientes.
.
Un JSON Web Token es un estandar que nos permite generar demandas entre 2 clientes de manera segura.
Un JWT est谩 encriptado, pero tiene 3 partes principales divididas por 鈥.鈥 (punto)

  1. Header: Contiene los archivos de configuraci贸n (el tipo y el algoritmo de encriptaci贸n)
  2. Payload: Guarda la informaci贸n de nuestros usuarios
  3. Signature: es la firma que contiene el header c贸dificado m谩s el payload c贸dificado, para poder dar acceso a un contenido, 茅ste deber谩 de ser firmado con un secret, que es la clave secreta con la que se firman los tokens, misma que s贸lo la deber谩 de conocer el backend.

Dentro del payload tenemos informaci贸n que puede ser relevante para la autorizaci贸n tal como:

  • La expiraci贸n
  • Id鈥檚
  • Nombres
  • etc
    .
    Es importante saber que los JWT acabar谩n firmando mucha parte de la comunicaci贸n, por lo que no es recomendable que mucha informaci贸n viaje, 茅sto puede acabar alentando tu aplicaci贸n.

Platzi tiene un curso muy bueno en d贸nde hablan a profundidad de JWT. Recomendado: https://platzi.com/clases/1439-autenticacion-oauth/15810-json-web-tokens5758/

normalmente lo que uno hace en el frontend es guardar el token en localstorage. Pero que pasa si alguien abre la consola del navegador y extrae el token guardado? asi de facil puede robarte tu identidad, mas alla del tiempo de vida del token nunca supe como resolver ese peque帽o detalle de seguridad鈥lgun iluminado?

Sin duda el mejor curso de Platzi hasta la fecha, nunca me habia sentido tan motivado y feliz con un curso.

En el minuto 2 se menciona que la informaci贸n que va en el token no se puede leer, si no, solamente el backend, pero aportando un poco, es posible ver lo que esta en el payload de un token sin tener el secret, lo que no es posible es hacer cambios en el token y frmarlo.

Tener cuidado en el token no se debe poner informaci贸n sensible, ya que si se puede leer.

  • Autenticaci贸n -> Va a decir qui茅n eres t煤. Es gen茅rica y global.
  • Gesti贸n de permisos -> Va a decir qu茅 puedes hacer. Depende del componente, archivo, contexto, etc.

Especialmente en seguridad: NO reinventes la rueda.

En el minuto 3 aproximadamente se equivoca al decir algoritmo HB265, cuando es HB256

Entonces donde se recomienda guardar ese secreto? sino es en el c贸digo?

JWT: est谩ndar para la creaci贸n de tokens de acceso.

Super genial el curso!

Excelente curso! 馃槃

JWT vs OAuth 2.0 ? JWT ayuda con la autenticaci贸n y OAuth 2.0 los permisos? no estoy muy seguro.

Genial

Excelente 馃槂

Mucho valor en los cursos de este profesor, genial.

No es el algoritmo HB265 cuando es HB256