Protegiendo nuestros recursos con JWT

Clase 11 de 39 • Curso de Autenticación con OAuth

Resumen

Actualmente utilizamos dos algoritmos de cifrado para proteger nuestros JWT: RS256, donde necesitamos una llave publica y una privada para validar la información desde el servidor y el cliente (utiliza la RSA Signature con SHA-256), y HS256, donde tenemos un poco menos de seguridad ya que, utilizamos a misma llave para generar y validar los tokens (utiliza el HMAC también con SHA-256).

John Orellana

student•

hola , conforme al reto del profe lo que hay que hacer es crear una llave privada y una publica las llaves serian estas de ejemplo:

y la otra seria la publica:

una vez hechas las vas a colocar en el archivo .ENV que creamos, ejemplo de las llaves : private_key = (la llave privada) y public_key = (la llave publica) estas llave tienen que tener comillas " " luego agregarlas en el config para llamarlas luego.

luego harmos la peticion post para la private key y para la publica la peticion get o veryficacion

luego iremos a postman para firmarla enviando en el body los respectivos cleim

al generarse la firma vamos a jwt.iote para debbuger colocamos la firma y usaremos la llave privada de nuestro archivo .env para verificar que la firma es valida y listo

de esa manera lo hice, disculpa por todo ese texto jajaja solo que me perdi en como resolver el reto y me costo el poder realizarlo espero que ayude 🤗

John Orellana

student•

perdón para verificar la firma no es la llave privada es la publica

Emmanuel Octavio Martinez C

Camilo Ramirez

Fabricio Orrala

Jose de Jesus Herrera Ledon

Alexis Alberto Texis Auza

Guillermo Rodas

teacher•

Ameth Ordoñez Erazo

Manuel Rodríguez

Johan Avila

Ronald Miller Andrade Lázaro

Jordi Santamaría Portolés

Edwar Baron

Team Platzi•

Jair Israel Avilés Eusebio

Elvis Salvatierra

Victor Israel Torrecillas Garcia

David Vargas Domínguez

Juan Pablo Perez

Maria Angelica Romero Carrasco

Javier Ramos

Alvaro Gonzalez

Pedro Manuel Salas Galindo

Everardo Sánchez

Gleycer Parra

Jose Galbis Soler

Massimo Di Berardino

Protegiendo nuestros recursos con JWT

Bienvenida e introducción

Qué aprenderás sobre autenticación con OAuth

Stack de seguridad para aplicaciones modernas

Autenticación

Autorización

JSON Web Tokens

JSON Web Tokens

Autenticación tradicional vs JWT

Configuración inicial de los proyectos

Firmando un JWT

Verificando nuestro JWT firmado y buenas practicas con JWT

Server-Side vs Client-Side sessions

Protegiendo nuestros recursos con JWT

Habilitando CORS en nuestro servidor

Profundizando el concepto de JWKS

OAuth 2.0

Cómo elegir el flujo adecuado para OAuth 2.0

¿Qué es OAuth 2.0?

Conociendo el API de Spotify

Creando los clientes de Spotify y servicios iniciales

Implementando Authorization Code Grant

Usando nuestro access token para obtener nuestros recursos

Implementando Implicit Grant

Implementando nuestro servicio de autenticación

Modificando nuestro Layout

Implementando Client Credentials Grant

Implementando Resource Owner Password Grant

Implementando Authorization Code Grant (PKCE)

Open ID Connect

¿Qué es OpenID Connect?

Implementando OpenID Connect

Preocupaciones con JWT y OAuth 2.0

¿Cuáles son las preocupaciones con JWT?

¿Cuáles son las preocupaciones con OAuth 2.0?

Haciendo uso de Auth0

¿Qué es Auth0?

Auth0 Lock y auth0.js

Universal Login

Social Login con Auth0

Custom Social connection con Spotify

Multifactor authentication

Authorization Extension en Auth0

Consideraciones para producción

Buenas prácticas para el despliegue en producción

Uso de diferentes tenants para producción con Auth0

Cierre del curso

Cierre del curso