Diferencia entre autenticación y autorización con API keys

Clase 6 de 20 • Curso de API REST con Javascript: Fundamentos

Resumen

La autenticación y la autorización son dos pilares fundamentales para la seguridad y gestión de accesos en aplicaciones web. Existen términos y procesos que muchas veces se confunden, pero entender su diferencia es clave para proteger información y garantizar un desarrollo profesional. Aquí encontrarás detalles esenciales y prácticos aplicados al trabajo con API keys en el backend.

¿Qué diferencia hay entre autenticación y autorización en la seguridad de una API?

La autenticación se ocupa de identificar quién realiza una solicitud al sistema. Por ejemplo, si alguien se presenta como "fulano", la autenticación sólo verifica si realmente lo es, pero no determina lo que puede hacer.

Por su parte, la autorización analiza los permisos: decide si ese usuario que ya fue autenticado puede acceder a información específica, ejecutar acciones o modificar recursos. Así, aunque "fulano" esté identificado, no necesariamente podrá ver o modificar elementos como las fotos privadas de otra persona.

Estas dos funciones trabajan juntas constantemente para proteger datos y restringir el acceso a recursos sensibles o limitados.

¿Cómo ayudan las API keys al backend a identificar solicitudes y proteger datos?

Las API keys son una de las herramientas que utiliza el backend para conocer quién está enviando cada petición. Así protege recursos y, además, puede limitar el número de solicitudes mensuales por usuario o aplicación.

Por ejemplo, una API puede fijar un límite de diez mil solicitudes al mes. Si se excede, el sistema impide nuevas peticiones, alentando a cambiar de plan si se requiere más capacidad.

Cada proyecto o usuario tiene su propia API key, lo que facilita rastrear cuántas solicitudes provienen de cada uno y restringe el acceso a rutas protegidas por la API.

¿Cuáles son las formas recomendadas de enviar una API key al backend?

Existen varias formas prácticas para enviar la API key en una solicitud:

Mediante un query parameter, agregando por ejemplo ?api_key=TU_API_KEY a la URL.
A través de un authorization header, un método más cómodo y seguro que será abordado en módulos posteriores.

El uso de query parameters resulta útil y sencillo para experimentar, aunque para entornos de producción se prefieren los headers.

¿Cuáles son otros métodos modernos de autenticación y autorización en aplicaciones?

Además de las API keys, existen métodos como:

Authorization Basic
Bearer Token
OAuth 2.0, reconocida por su mayor seguridad y complejidad
Combinación de access key y secret key

Frameworks como Firebase gestionan procesos sofisticados para combinar autenticación y permisos, útil si tu aplicación maneja tanto autenticación basada en la aplicación como autenticación basada en usuarios.

¿Cómo obtener tu API key para comenzar a autenticar solicitudes?

Para probar la autenticación application-based:

Accede a la sección de autenticación en la documentación de la API.
Localiza las instrucciones para solicitar tu API key.
Completa el formulario con un email válido y una breve descripción de tu proyecto.
Confirma tu correo electrónico mediante el enlace recibido.
Obtén y copia tu API key.

Coloca la API key en cada petición (por ejemplo, como ?api_key=TU_API_KEY). Así la API reconocerá tu identidad y permitirá el número de solicitudes correspondiente a tu cuenta.

¿Por qué considerar una autenticación combinada para frontend y usuarios?

Algunas aplicaciones deben identificar tanto al frontend (la aplicación) como a usuarios finales individuales. En estos casos se requiere una combinación de application-based authentication y user-based authentication, lo cual agrega seguridad y flexibilidad pero también complejidad al manejo de accesos y permisos.

¿Quieres saber más sobre cómo proteger y personalizar la experiencia con autenticación avanzada? ¡Comparte tus dudas o experiencias sobre el uso de API keys y la seguridad en proyectos web!

Angel Hernandez

student•

Juan a mejorado mucho dando clases, se nota que ha madurado, este curso de API's me esta gustando mucho y la forma en la que el explica es bastante clara por no decir excelente!

Juan David Reyes

student•

si ah mejorado mucho, los verdaderos profesores siempre tratan de mejorar cada vez mas n.n

Daniel De Jesus

student•

Si no es el mejor es uno de los mejores de la plataforma

Stiven Trujillo

student•

API KEY

Son una, no la única, de las formas en que el backend puede identificar quien está haciendo cada solicitud.

Debemos entender dos conceptos importantes, la Autenticación y la Autorización.

Autenticación

Consiste en identificar quien es cada quien. No sabe que permisos tiene fulano, No sabe que puede o no hacer fulano, Solamente sabe que él es fulano, que ella es pamela o que esa es una persona sin identificar.

Autorización

Es la que nos dice que permisos tiene cada quien, es decir, si fulano quiere ir a la nevera para comerse un pastel, es la que dice, espérate fulano, tienes permisos para abrir la nevera?, a listo ábrela, tienes permisos de comerte el pastel?, a bueno comételo.

Y además por poner un ejemplo más real, si fulano trata de ver las fotos privadas de pamela, la autorización va a decir, ok quien eres?, la autenticación ya te dijo que eras fulano, a listo perfecto, autenticación me pasas un token, listo ya sé que tu eres fulano, y luego empieza a revisar los permisos, como no los tiene se lo va a prohibir,

Obviamente estos trabajan en conjunto para prohibir o permitir a toda la información que tenemos en nuestra aplicación, y ahí es donde entran las API KEYs.

Estas API Keys son una de las formas en que el backend puede indentificar quien es cada quien.

El backend necesita saber quien esta haciendo cada solicitud, para proteger la información privada de las personas, pero también en muchos casos, para limitar la cantidad o las solicitudes que le hacemos a la aplicación.

Para que nosotros podamos enviarle esta API KEY en cada solicitud que hagamos al backend podemos utilizar varias formas:

Query parameter: ?apy_key=ABC123
Authorization Header: X-API-Key: ABC123

Alternativas

Authorization: Basic
Authorization: Barer Token
OAuth 2.0 (es de las mejores y más complicadas formas de autenticar en la modernidad)
Access Key + Secret Key

En este caso estamos haciendo una Application-based authentication es decir estamos autenticando nuestra aplicación, estamos autenticando a nuestro frontend para que pueda hacer solicitudes al backend, pero hay aplicaciones donde no solamente necesitamos una Application-based authentication, también hay apps que necesitamos usar esta con una User-based authentication.

Alejandra Espinosa

student•

gracias por el aporte!!

Laura Roa

student•

Estas clases estan geniales!! Que gran trabajo esta haciendo Juan! Estas clases así me recargan de buena energía! Aprendo mucho y me motiva a seguir explorando más sobre el tema!

Chanel Mariannis Paredes Sánchez

student•

Totalmente :D

Carlos Rodríguez

student•

const API_KEY = 'xxxxxx-yyyyyyyy-zzzzzzzzz';

const URL = [
    'https://api.thecatapi.com/v1/images/search',
    '?limit=5',
    '&order=Asc',
    `&api_key=${API_KEY}`,
].join('');

SANDRO SIMON

student•

Este curso se ha puesto muy bueno, ojalá siga así hasta el final.

Hiram Rodriguez Gomez

student•

Ahora me está quedando muchísimo más claro cómo consumir APIs por medio de Javascript. Siento que todo está muy sencillo y Juan David lo explica con mucha claridad. Muy emocionado de tomar este curso.

John Orellana

student•

es como la API de Marvel, te da una llave publica y una privada y con esas dos tenemos que crear un hash y concaternala a la url para tener autorización

Jeans Pierre Monrroy Caicedo

student•

Como me gusta este curso

Juan Sebastian Espínola

student•

El tema de autenticación y autorización es super amplio e interesante. Si les interesa leer más sobre otros métodos y cómo funcionan, les recomiendo mucho este post que explica a detalle distintas maneras de autentificar y autorizar: 4 Most Used REST API Authentication Methods

Sergio Medina

student•

Que bien, este artículo me servirá para el trabajo. Muchas gracias.

Alessandra Amicarella

student•

Muchas gracias por el artículo!

Juan David Reyes

student•

han pasado 7 clases pero el tiempo se me ha ido muy rapido esta muy bueno el curso n.n

Marcos Perez

student•

Sara Acevedo Maya

student•

Sólo vengo a decir que me está gustando mucho el curso u,u

Seba Cardoso

student•

En mi equipo usamos Autherization: Bearer Token en el header para autorizar las solicitudes.

Andrés Felipe Eslava Zuluaga

student•

Un curso muy bueno hasta ahora!

Matias Diaz

student•

ME ENCANTAN ESTAS CLASES! Muy claras. Hacen "Mas facil" aprender

Miguel Angel Hernandez Colombo

student•

todo esta tomando sentido en ellaberinto de mi cerebro!

Gianluca Enzo Procopio

student•

No sé por qué, pero me dieron ganas de consumir la API de Marvel Comics y de paso implementé los api keys con los query parameters:

const API = "https://gateway.marvel.com:443/v1/public/characters/1011334/comics?ts=1&apikey=be8945bcac46de93659d1f8e44fc5cfe&hash=0266b29b25e0739836354477416bea98";

const main = document.querySelector('main')

async function fetchData(url){
    const response = await fetch(url);
    const data = response.json();
    return data;
}

async function getData(url){
    try{
        const response = await fetchData(url);
        const comics = response.data.results;
        const imgUrl = comics[0].images[0].path +".jpg";
        for(let i = 0; i < comics.length; i++){
            main.innerHTML += `
            <div class="tarjeta">
                <img src=${comics[i].images[0].path + ".jpg"} alt="pokemon">
                <h4>Nombre: <span>${comics[i].characters.items[i].name}</span></h4>
            </div>
            `
        }
    }catch{
        throw new Error("Error en la API");
    }

}
console.log(getData(API))

Norma Yamileth Diaz Escobar

student•

Cúanto tarda en recibir el correo?? xD

Juan Castro

teacher•

En mi caso fue inmediato. Tal vez esté en correo no deseado?

Norma Yamileth Diaz Escobar

student•

Gracias prof😊💚. Justo en Spam estaba🤭

Wilberk Ledezma

student•

Según Google...

El código de error HTTP 418 Soy una tetera indica que el servidor se rehusa a preparar café porque es una tetera. Este error es una referencia al Hyper Text Coffee Pot Control Protocol, creado como parte de una broma del April Fools' de 1998.

Stephany Plaza

student•

una APIKEY es una de las fromas que tiene el backend para saber QUIEN esta haciendo la solicitud. Hay dos conceptos importantes:

Autenticacion que responde la pregunta de quien eres? "fulanito","patricia" o simplemente: sin identificar.
Autorizacion : que permisos tiene cada quien

Primero pregunta quien eres y luego revisa los permisos. Para enviar la API KEY al backend podemos usar: 1)Query-Parameter: ?api_key=NOMBREDELAAPIKEY 2)Authorization Header: X-API-KEY:NOMBREDELAAPIKEY Siendo la ultima mas comoda y segura

Hay otras alternativas para que el backend identifique la solicitud: -Authorizaton: Basic -Autorization: Bearer Token -O Auth 2.0 (De las mejores y mas complicadas) -Access Key + Secret Key (Firebase)

Y para cuando el backend necesita ademas de saber quien esta haciendo la solicitud, de quien es la aplicacion, se combina: -Application-based- authentication y -User-based authentication

Rigoberto Maldonado

student•

Exxcelente resumen, gracias

Stephany Plaza

student•

gracias por tu comentario :)

Diferencia entre autenticación y autorización con API keys

Conceptos fundamentales

Qué es una API REST y cómo funciona con JavaScript

Flujo de comunicación entre front-end y back-end en aplicaciones web

Primeros pasos con fetch

Consumo de APIs REST públicas con JavaScript y fetch

Endpoints y query parameters en APIs REST con JavaScript

¿Qué son los HTTP Status Codes?