Cómo elegir el flujo adecuado para OAuth 2.0

Clase 14 de 39 • Curso de Autenticación con OAuth

Clase anteriorSiguiente clase

Cristian David Franco Garcia

student•

https://auth0.com/docs/api-auth/which-oauth-flow-to-use

Carlos Enrique Ramírez Flores

student•

Sabes si el mismo articulo esta en español?

Javier Ramos

student•

MI resumen

Si somos el Resource Owner se usa el flujo Client Credential Grant
Si somos una Wep App ejecutandose del lador del servidor se usa el flujo Authorization Code Grant
Si somos un cliente al que se le pueden confiar las credenciales de usuario se usa el flujo Resource Owner Password Credential Grant

-Si somos una Single Page up se usa el flujo Implicit Grant

Si somos una aplicacion nativa se usa el flujo Authorization Code Grant (PKCE)

Everardo Sánchez

student•

Implicit ya no debería usarse. https://oauth.net/2/grant-types/implicit/

Carlos Enrique Ramírez Flores

student•

Guardaré el video, para verlo despues!

Gustavo Alvarez Leyton

student•

vení a escribir ésto mismo, qué bueno que ya estaba por aquí. Muchas gracias.

Juan Castro

teacher•

Grant - OAuth Middleware for Express, Koa and Hapi

Raul Gomez

student•

debemos marcar esta clase com critica por la informacion que maneja

Cristian Camilo Suarez Martinez

student•

Llegue a este curso porque justo requiero entender de todas estas tecnología para el diseño de una solución en mi trabajo, es un mundo grande de entender y más si nunca has tratado con estos temas. Sobre todo este de Oauth que tiene variedad de flujos dependiendo del caso. Les comparto la siguiente URL https://www.paradigmadigital.com/dev/oauth-2-0-equilibrio-y-usabilidad-en-la-securizacion-de-apis/ que me permitió comprender un poco más de estos casos.

Sebastian Charria

student•

https://www.paradigmadigital.com/dev/oauth-2-0-equilibrio-y-usabilidad-en-la-securizacion-de-apis/ Dejo este articulo para los que quieran profundizar mas. ✌

Renzo Rosero

student•

Puedes por favor dejar los nombres de los Flujos mostrados

Michael Emir Reynosa Beltrán

student•

Tengo una duda, si bien es cierto OAuth me ayuda a la autorización de cliente y/o usuario. Y tanto el “cliente” como el “usuario” según el contexto pueden ser el Resource owner. En un ambiente general yo como usuario autenticado le cedo la autorización a un cliente "x" a acceder a mis recursos, por ejemplo: acceder a mis mails para que ese cliente me muestre mis mail (Puedo hacer uso de Implicit grant o Authorization code grant).

¿Que seria lo correcto en un ambiente empresarial? ya que el usuario autenticado no es el Resource owner, porque el usuario final en este caso puede necesitar acceso a diferentes recursos (mantemientos de alguna tabla por ejemplo). ¿En ese caso debo usar dos tokens? uno para saber los limites del usuario logeado dentro de la aplicación y otro token haciendo uso de Client credentials grant? ¿Seria esto Open ID Connect?

Pablo Torres Pérez

student•

¿Actualmente cuál es el flujo recomendado para una SPA?

Jonnathan Ramiro Juma Jara

student•

Para que no se cierre la session en una app

Flor Dulcinea Peña Campos

student•

No entiendo a qué se refiere que el 'Cliente' significa que la 'aplicación somos nosotros cómo usuarios'. ¿Eso quiere decir que la aplicación es nuestra y nosotros ocupamos acceder a ella?

Carlos Eduardo Gomez García

teacher•

Hola! Se refiere a que nuestras computadoras son las que ejecutan el código de la aplicación, es decir, el servidor le entrega una copia de la aplicación a nuestras computadoras, por eso se dice que el cliente somos nosotros como usuarios, porque somos nosotros quienes necesitamos pedirle cosas al servidor :D

Ronny

student•

para Client Credentials Flow?

Alexander Silvera

student•

Para una aplicación realizada con django, que se recomienda para la autenticación y autorización??

Fernanda Aragon

student•

Puedes usar el mismo sistema de autenticación que ya trae django por defecto.

David Toca

student•

puedes usar python-social-auth si quieres manerar login a traves de redes sociales

José Hugo Calderón Villanueva

student•

Bien detallado todos los flujos que tiene en OAuth.

ALVARO RODRIGUEZ TAMEZ

student•

Buena explicación

Steven André Vargas Canté

student•

Para el desarrollo de aplicaciones móviles híbridas, ¿Qué flujo es el recomendado a utilizar?

Guillermo Rodas

teacher•

Implicit Grant

Miguel Angel Escurra

student•

Cómo elegir el flujo adecuado para OAuth 2.0

Bienvenida e introducción

Qué aprenderás sobre autenticación con OAuth

Stack de seguridad para aplicaciones modernas

Autenticación

Autorización

JSON Web Tokens

JSON Web Tokens

Autenticación tradicional vs JWT

Configuración inicial de los proyectos

Firmando un JWT

Verificando nuestro JWT firmado y buenas practicas con JWT

Server-Side vs Client-Side sessions

Protegiendo nuestros recursos con JWT

Habilitando CORS en nuestro servidor

Profundizando el concepto de JWKS

OAuth 2.0

Cómo elegir el flujo adecuado para OAuth 2.0

¿Qué es OAuth 2.0?

Conociendo el API de Spotify

Creando los clientes de Spotify y servicios iniciales

Implementando Authorization Code Grant

Usando nuestro access token para obtener nuestros recursos

Implementando Implicit Grant

Implementando nuestro servicio de autenticación

Modificando nuestro Layout

Implementando Client Credentials Grant

Implementando Resource Owner Password Grant

Implementando Authorization Code Grant (PKCE)

Open ID Connect

¿Qué es OpenID Connect?

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

¿Cuáles son las preocupaciones con JWT?

¿Cuáles son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

¿Qué es Auth0?

Auth0 Lock y auth0.js

Universal Login

Social Login con Auth0

Custom Social connection con Spotify

Multifactor authentication

Authorization Extension en Auth0

Consideraciones para producción

Buenas prácticas para el despliegue en producción

Uso de diferentes tenants para producción con Auth0

Cierre del curso

Cierre del curso