Autenticación Básica HTTP en PHP: Implementación y Limitaciones

Clase 11 de 19 • Curso de API REST con PHP

Clase anteriorSiguiente clase

Resumen

La autenticación vía HTTP tiene dos problemas:

Es poco segura: las credenciales se envían en cada request anteponiendo el usuario y contraseña en la url, por ejemplo: user:password@platzi.com.
Es ineficiente: la autenticación se debe realizar en cada request.

Royer Guerrero Pinilla

student•

Aqui esta la version en python

from flask import make_response, request

def auth_required(func):
    def wrapper(self):
        if request.authorization and request.authorization['username'] == 'royer' and request.authorization['password'] == '1234':
            return func(self)
        
        return make_response('Could not verify your login!', 401, {'WWW-Autencticate': 'Basic reaml=&quot;Login Required&quot;'})

    return wrapper

Luego se debe importar from common.auth import auth_required para despues llamarlo mediante el decorador @auth_required Ejemplo

class BookList(Resource):
    @auth_required
    def get(self):
        return jsonify({'data': BOOKS})

Juan Pablo Perez

student•

Gracias buen aporte.

rusbel bermúdez rivera

student•

Lo habia pensado implementar con flask-login pero te ganaste un 10

Carlos Eduardo Gomez García

teacher•

Comprendo, no sabía que esto era autenticación vía HTTP, la usaba antes en GitHub al clonar repositorios privados, pero efectivamente parece poco seguro jaja

Israel Yance

student•

Autenticación HTTP: user:password@URL $ curl http://mauro:1234@localhost:8000/books

María Sierra

student•

Autenticación vía HTTP

Para proteger nuestros datos en nuestros servidor tenemos que crear una autenticación vía HTTP.

$user = array_key_exists( 'PHP_AUTH_USER', $_SERVER ) ? $_SERVER['PHP_AUTH_USER'] : '';
$pwd = array_key_exists( 'PHP_AUTH_PW', $_SERVER ) ? $_SERVER['PHP_AUTH_PW'] : '';

if ( $user !== 'katti' || $pwd !== '1234') {
    die;
}

Para poder acceder con usuario y clave, tenemos que ponerlos datos en la url en la terminal así:

curl http: // katti:1234@localhost:8000 /books

El problema que tiene la autenticación HTTP es:

Poco segura → Porque toda la información de autenticación viaja por la url.
Ineficiente → Porque cada veces que se realice una petición tienes que autenticarte.

Mariano Gastón Paduani

student•

Gracias!

DANIEL VILLALOBOS

student•

Que interesante la verdad estos ejemplos complementan mas claramente la clase de Outh2 de platzi.

Paul Cortes

student•

En PHP la autenticación PHP se usan las variables:

PHP_AUTH_USER
PHP_AUTH_PW

Asi:

$user = array_key_exists('PHP_AUTH_USER', $_SERVER ) ?  $_SERVER['PHP_AUTH_USER'] : '';
$pass= array_key_exists('PHP_AUTH_PW', $_SERVER ) ?  $_SERVER['PHP_AUTH_PW'] : '';

Luis Alejandro Vera Hernandez

student•

Si la autenticacion es via HTTP el cliente en cada peticion debe enviar Usuario y contraseña por esa razon es un metodo no muy seguro.

Christian David Sánchez

student•

HTTP soporta el uso de varios mecanismos de identificación para controlar el acceso a páginas u otros resources. Estos mecanismos se basan en el uso del código de estado 401 y el response header WWW-Authenticate. Fuente: (https://diego.com.es/autenticacion-http)

Lucas Alvarez

student•

Aquí mi intento con Javascript Debido a que NodeJS recibe esta autenticación en base64 en los headers, hay que decodearlo. Para esto hice un middleware autenticador, que es bastante sencillo de usar.

Creamos la función de autenticación bookAuthenticator

const bookAuthenticator = (req, res, next) => {  
  // Definimos nuestra variable que contendra la informacion de auth
  let authorization = [];

  // Verificamos si se envian headers de autenticación por HTTP
  if(req.headers.authorization) {
    // req.headers.authorization es encodeado en base64
    // Tal como: "Basic bHVjbmVvbmN0OjEyMzQ="
    // Con un Buffer lo decodeamos: Buffer.from('string','base64')
    authorization = Buffer
      // Separamos en dos arreglos, para usar solo el string encodeado
      // ["Basic", "bHVjbmVvbmN0OjEyMzQ="]
      .from(req.headers.authorization.split(" ")[1], 'base64')
      // Lo transformamos en utf-8
      // "lucneonct:1234"
      .toString('utf-8')
      // Lo separamos por el ":" en un array
      // ["lucneonct", "1234"]
      .split(':');
  }

  // Obtiene username del primer indice del arreglo y la contraseña del segundo
  const authUser = authorization[0];
  const authPassword = authorization[1];

  // Verificamos si los datos no coinciden con nuestro usuario hardcodeado
  if( authUser !== "Lucneonct" && authPassword !== "1234") {
    // Rompe la cadena y retorna un 403 Forbidden
    return res.status(403).json({ status: 'Forbidden: missing or invalid auth' });
  }

  // Seguimos con nuestro código una vez que todo esté bien
  next()
}

Usamos nuestro middleware bookAuthenticator en nuestra ruta get

app.get('/', bookAuthenticator, (req, res) => {
    // ... Nuestro código para obtener el libro
}

Lo probamos con

curl lucneonct:1234@localhost:5000/?resource_type=books | jq

Sergio Andrés Majé Franco

student•

Mi código de autenticación vía HTTP usando Python con FastAPI

Y la petición HTTP con las autenticación HTTP

Francisco Leví Méndez Delgado

student•

¡Bien! Yo también utilicé FastAPI. Dejo aquí la liga de la documentación: HTTP Basic Auth

Edkar Chachati

student•

Autenticación en Python Con Flask

# HTTP Autentication
auth = HTTPBasicAuth()

@auth.verify_password
def verify_password(username, password):
    if username == 'admin' and password == '123':
        return username

Y usar

class Books(Resource):
    @auth.login_required
    def get(self):
        return jsonify({'data': books})

Luis Alejandro Vera Hernandez

student•

Muy interesante conocer sobre este metodo de autenticacion y saber que no es el mas seguro que existe para tratar de evitarlo.

Julian David Alzate Cuervo

student•

En el curso no he podido que me funcione el PUT. DELETE y la autenticación

Abril Martínez

student•

http://**user:password@**URL

Jecsham Castillo

student•

Autenticación para servicios muy básicos

Gonzalo Gramaglia

student•

¿Cual es la diferencia entre el ' !== ' y el ' != '?

Luis Lira

student•

En JavaScript es:

!= Diferente de, solo compara los valores y revisa que sean diferentes. Por ejemplo, 0 != '0' dará false porque solo está comparando los valores.
!== Es estrictamente diferente, es decir, además de comparar el valor, también estará comparando, por lo que si hacemos lo mismo de 0 !== '0', ahora dará true, porque uno es un número y el otro es un string.

Montse Cruz

student•

hay algun curso donde se pueda hacer una autenticación http con laravel?

LISANDRO MENDEZ

student•

Si es insegura para que se utiliza?

Massimo Di Berardino

student•

¡Hola Lisandro! Esta es la manera de enviar información mas sencilla y se puede utilizar para datos que no seas sensibles, como lo son passwords o datos del usuario, hoy en día existen mejores formas de enviar la información mas adelante en el curso el profesor explica las otras formas existentes.

José Heriberto López Ruiz

student•

Mas que nada es simplemente un ejemplo, para que puedas comprender cómo es que funciona de manera sencilla, que igual puedes implementar si quieres para aplicaciones que no tengan datos sensibles. Pero una vez que hayas comprendido cómo es que funciona. de preferencia puedes usar otros métodos más seguros que se ven en las siguientes clases.

Ricardo Moreno

student•

cuando intetno desarrollar una api rest en php y mi cliente es angular no se por que me genera errores de CORS

Mauro Chojrin

teacher•

Prueba agregando esto a tu servidor php:

header('Access-Control-Allow-Origin: *'); header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept"); header('Access-Control-Allow-Methods: GET, POST, PUT, DELETE'); (Antes de enviar html o json al cliente)

Abel da Cunha

student•

La autenticación HTTP, especialmente a través de encabezados como Basic Authentication, tiene sus ventajas y desventajas. Aquí hay algunos pros y contras:

Pros:

Simplicidad: La autenticación HTTP es simple de implementar y entender. Solo requiere el encabezado Authorization en las solicitudes HTTP.
Rendimiento: Puede ser más eficiente en términos de rendimiento en comparación con métodos más complejos, ya que no implica múltiples rondas de negociación.
Compatibilidad: Es compatible con prácticamente todos los navegadores y tecnologías web, ya que es un estándar ampliamente adoptado.

Contras:

Seguridad limitada: Basic Authentication transmite credenciales en texto simple, codificadas en Base64, que es fácilmente decodificable. Esto significa que es vulnerable a ataques de captura y reproducción si no se utiliza junto con HTTPS.
Falta de funcionalidad avanzada: No proporciona funcionalidades avanzadas como renovación automática de tokens o la posibilidad de revocar un token específico sin cambiar las credenciales.
Incapacidad para manejar roles y permisos: No ofrece un mecanismo integrado para gestionar roles y permisos, lo que puede ser necesario en sistemas más complejos.
Necesidad de almacenar credenciales: Los clientes deben almacenar las credenciales de usuario, ya que se requieren en cada solicitud. Esto puede ser un riesgo de seguridad si las credenciales se almacenan en el lado del cliente.
Falta de estándares para el cierre de sesión: No hay un estándar claro para cerrar la sesión en la autenticación HTTP, lo que puede dificultar la implementación de una funcionalidad de cierre de sesión efectiva.

En resumen, la autenticación HTTP es simple y fácil de implementar, pero tiene limitaciones de seguridad y funcionalidad que pueden hacerla menos adecuada para ciertos escenarios, especialmente aquellos que requieren un mayor nivel de seguridad y características avanzadas. En muchos casos, se prefiere el uso de protocolos de autenticación más robustos como OAuth 2.0.