No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

No se trata de lo que quieres comprar, sino de quién quieres ser. Invierte en tu educación con el precio especial

Antes: $249

Currency
$209

Paga en 4 cuotas sin intereses

Paga en 4 cuotas sin intereses
Suscríbete

Termina en:

11 Días
18 Hrs
19 Min
37 Seg

Flujos en OAuth 2.0

12/25
Recursos

Aportes 8

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

curso de criptografia!!!

Un ejemplo practico seria cuando una empresa ofrece beneficios por ejemplo el ingreso a un gimnasio por convenio, entonces el resource owner podriamos ser nosotros, el client prodria ser el gimnasio, el authorization server podrian ser las personas que se encargan del ingreso de personas al gimnasio que estan en recepcion, y a estas personas se les muestra el carnet de la empresa que se podria ver como el token de acceso para que validen el convenio, y el resource server serian las maquinas que se encuentran en el gym

OAuth 2.0 es como un sistema de seguridad en un edificio de oficinas compartido. Aquí va la analogía para entender los roles y flujos: 1. **Cliente (Client):** Imagina que eres un trabajador que necesita acceder a una sala de conferencias en el edificio, pero no tienes una llave directa. En lugar de eso, pides una autorización temporal en la recepción. 2. **Propietario de los recursos (Resource Owner):** El propietario de los recursos es como el jefe de seguridad del edificio, que decide quién puede tener acceso a qué partes del edificio. Este jefe de seguridad puede ser tú mismo (si se trata de tu propia información) o alguien más (si estás accediendo a los datos de otra persona). 3. **Servidor de autorización (Authorization Server):** Este es como la recepción del edificio, donde presentas tu identificación (credenciales) y pides acceso a la sala de conferencias. La recepción verifica tu identidad y, si todo está en orden, te da un pase temporal (token) que te permite entrar. 4. **Servidor de recursos (Resource Server):** Finalmente, está la sala de conferencias en sí, que tiene un guardia en la puerta. Este guardia verifica tu pase temporal. Si es válido, te deja entrar a la sala; si no, te rechaza. ### Flujos de OAuth 2.0 1. **Autorización del código de autorización (Authorization Code Flow):** En este flujo, primero vas a la recepción (Servidor de Autorización) y le pides el pase temporal (token). La recepción verifica tu identidad y te da un pase temporal en forma de un código. Luego, llevas ese código de vuelta a la recepción, que finalmente te da un pase completo que te permite entrar a la sala de conferencias (acceso a recursos). 2. **Flujo de credenciales de recursos (Resource Owner Password Credentials Flow):** Aquí, es como si fueras a la recepción, les dieras tu identificación (nombre de usuario y contraseña) directamente, y obtuvieras un pase temporal para acceder a la sala. Este flujo es más rápido pero también menos seguro porque estás compartiendo tu identificación directamente. 3. **Flujo de credenciales del cliente (Client Credentials Flow):** Este flujo es como si fueras un miembro permanente del edificio (por ejemplo, una empresa en el mismo edificio) y tu empresa ya tiene un acuerdo con la seguridad. Simplemente presentas una identificación especial y obtienes acceso directo, sin necesitar una autorización adicional. 4. **Flujo de token implícito (Implicit Flow):** En este caso, obtienes el pase temporal (token) directamente al pedirlo en la recepción, sin pasar por el paso intermedio de obtener un código. Es más rápido, pero menos seguro, ya que el pase se entrega de inmediato y podría ser interceptado.
En el flujo "Authorization Code Flow with Proof-Key for Code Exchange", el `Code Challenge` y el `Code Challenge Method` se envían al Authorization Server en la primera solicitud de autorización, junto con otros parámetros como el `Client ID` y los `Scopes`. El `Code Challenge` es el resultado del `Code Verifier` aplicado a un algoritmo de hashing, y permite al servidor verificar la autenticidad del cliente en la segunda etapa del flujo.
curso de criptografia, se necesita
Nuevamente, curso de criptografía, venga!!

Hagan el curso de la criptografía por favor

Saludos a todos, alguien puede responderme estas preguntas: 1.- Cuando se usa PKCE, igual la aplicación cliente debería guardar el code\_verifier, caso contrario tendría que solicitar el consentimiento del usuario cada que se accese a la aplicacion? 2.- Si es así, este enfoque no funcionaría muy bien en SPA, porque como se guarda de forma segura un secreto en una SPA (Sin hacer uso de un servidor backend).