¿Cuáles son las preocupaciones con OAuth 2.0?

Clase 29 de 39 • Curso de Autenticación con OAuth

OAuth 2.0 ha sido cuestionado y criticado en diferentes ocasiones, por lo que vamos a explorar algunas de ellas.

OAuth no es un protocolo en sí

Cuando nos referimos a un protocolo hablamos de que su implementación es lo suficientemente estricta para que no existan variaciones y/o confusiones a la hora de la implementación.

Debido a la gran adoptación temprana que tuvo OAuth, muchas compañías empezaron a contribuir y agregar sus propias versiones de la implementación. Por eso, es que en la definición no es altamente estricta y se habla de muchas variantes en su implementación convirtiendo OAuth en un framework para crear protocolos en vez de un protocolo en sí.

El problema con esto es que deja muy al aire y a la opinión de cada uno cual es la mejor forma de implementar OAuth de manera segura y correcta.

La recomendación es no solo leer la especificación si no ademas leer sobre otras implementaciones y los consejos de otras compañías para asegurar una buena implementacion de la misma.

Bearer tokens

Un Bearer token es un token con la característica de que cualquier entidad con la posesión del token puede usarlo a su gusto y no se requiere prueba de su posesión para este uso.

El problema con esto es que el token en si tiene todas las autorizaciones que han sido diseñadas para el cliente quien lo concedió, pero eso no implica que otro cliente pueda tomar ese token y usarlo.

Idealmente no solo enviar el token si no una prueba de la posesión del mismo pero la realidad es que esto nunca se incluyo en la especificación por lo que las recomendaciones son siempre hacer el uso y envío de tokens en conexiones seguras SSL y tener mucho cuidado con el almacenamiento de los mismos.

Mi recomendación general es que si quieren reforzar sus conocimientos en OAuth leanse la especificación y investiguen un poco mas allá en documentaciones como la de Auth0: https://auth0.com/docs/protocols/oauth2

Javier Ramos

student•

Me gustaría que miraran este video de Chema Alonso sobre OAuth y es preocupante lo que plantea Después de ver el vídeo mi pregunta es ¿podemos desde el desarrollo evitar el robo de tokens??

Guillermo Rodas

teacher•

Lo que podemos hacer es asegurarnos que tengan un tiempo de expiración muy corto y almacenarlos en una lugar seguro como una Cookie con el flag httpOnly. Tambien, podemos no usar Implicit Grant, y hacer un manejo de sesion en ese caso.

Guillermo Rodas

teacher•

Despues de ver el video, realmente no es un problema de seguridad de tokens, es un problema de fishing/pishing. En este caso esta haciendo uso de ingenieria social para darle permiso a una aplicacion tercera a que acceda a su información.

Por eso, es importante leer el modal de autorización, creo que en este caso, Microsoft esta teniendo un mal diseño y confunde al usuario.

¿Cuáles son las preocupaciones con OAuth 2.0?

Bienvenida e introducción

Qué aprenderás sobre autenticación con OAuth

Stack de seguridad para aplicaciones modernas

Autenticación

Autorización

JSON Web Tokens

JSON Web Tokens

Autenticación tradicional vs JWT

Configuración inicial de los proyectos

Firmando un JWT

Verificando nuestro JWT firmado y buenas practicas con JWT

Server-Side vs Client-Side sessions

Protegiendo nuestros recursos con JWT

Habilitando CORS en nuestro servidor

Profundizando el concepto de JWKS

OAuth 2.0

Cómo elegir el flujo adecuado para OAuth 2.0

¿Qué es OAuth 2.0?

Conociendo el API de Spotify

Creando los clientes de Spotify y servicios iniciales

Implementando Authorization Code Grant

Usando nuestro access token para obtener nuestros recursos

Implementando Implicit Grant

Implementando nuestro servicio de autenticación

Modificando nuestro Layout

Implementando Client Credentials Grant

Implementando Resource Owner Password Grant

Implementando Authorization Code Grant (PKCE)

Open ID Connect

¿Qué es OpenID Connect?

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

¿Cuáles son las preocupaciones con JWT?

¿Cuáles son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

¿Qué es Auth0?

Auth0 Lock y auth0.js

Universal Login

Social Login con Auth0

Custom Social connection con Spotify

Multifactor authentication

Authorization Extension en Auth0

Consideraciones para producción

Buenas prácticas para el despliegue en producción

Uso de diferentes tenants para producción con Auth0

Cierre del curso

Cierre del curso