Bienvenida e introducción
Autenticación tradicional vs JWT
Clase 6 de 39 • Curso de Autenticación con OAuth
Contenido del curso
JSON Web Tokens
- 5
JSON Web Tokens
08:34 - 6
Autenticación tradicional vs JWT
08:08 - 7
Configuración inicial de los proyectos
08:22 - 8
Firmando un JWT
15:23 - 9
Verificando nuestro JWT firmado y buenas practicas con JWT
11:43 - 10
Server-Side vs Client-Side sessions
05:23 - 11
Protegiendo nuestros recursos con JWT
04:38 - 12
Habilitando CORS en nuestro servidor
01:11 - 13
Profundizando el concepto de JWKS
02:24
OAuth 2.0
- 14
Cómo elegir el flujo adecuado para OAuth 2.0
02:54 - 15
¿Qué es OAuth 2.0?
00:15 - 16
Conociendo el API de Spotify
07:29 - 17
Creando los clientes de Spotify y servicios iniciales
16:46 - 18
Implementando Authorization Code Grant
14:54 - 19
Usando nuestro access token para obtener nuestros recursos
07:12 - 20
Implementando Implicit Grant
09:11 - 21
Implementando nuestro servicio de autenticación
08:46 - 22
Modificando nuestro Layout
09:18 - 23
Implementando Client Credentials Grant
09:52 - 24
Implementando Resource Owner Password Grant
01:46 - 25
Implementando Authorization Code Grant (PKCE)
02:26
Open ID Connect
Preocupaciones con JWT y OAuth 2.0
Haciendo uso de Auth0
Consideraciones para producción
Cierre del curso
Resumen
La autenticación tradicional funciona creando un espacio en memoria con un id para identificar a los usuarios activos, estos IDs se almacenan en cookies (información que enviamos o modificamos entre servidores y navegadores) para identificar si los usuarios están o no autenticados. Todas las cookies tienen un tiempo límite, es decir, después de cierto tiempo la cookie se borra y la sesión termina, el usuario debe volver a autenticarse.
El problema de este tipo de autenticación es que no funciona con _Single Page Applications (aplicaciones construidas sobre una única página), ya que no refrescamos el navegador para acceder a nueva información o verificar la autenticación de los usuarios, no hay forma de acceder a las cookies a medida que los usuarios interactúan con la aplicación. También tenemos problemas cuando construimos aplicaciones con arquitecturas basadas en microservicios, cualquier control de permisos requiere volver a realizar peticiones en la base de datos.
La autenticación con tokens funciona generando tokens con la identificación y los permisos de cada usuario, estos tokens son enviados y almacenados desde el cliente, así que, siempre que nuestras aplicaciones necesitan verificar los permisos de los usuarios simplemente necesitan validar los tokens. Gracias a este tipo de autenticación NO necesitamos un servicio de backend para almacenar las sesiones de autenticación de los usuarios, solo con guardar y validar los tokens podemos controlar los permisos para cada usuario.