Server-Side vs Client-Side sessions

Clase 10 de 39 • Curso de Autenticación con OAuth

Resumen

Autenticar usuarios desde de lado del servidor es considerado stateful, debemos utilizar sesiones para preservar los estados de autenticación, es decir, guardamos en memoria o en una base de datos un identificador que nos permita comprobar si los usuarios están o no autenticados.

Por otro lado, la autenticación de lado del cliente no utiliza sesiones, en realidad, no tenemos forma de verificar si los usuarios están autenticados o no, en vez de esto, validamos los datos de usuario para obtener tokens (con límite de tiempo) que utilizamos en las peticiones al servidor para validar el acceso y consultar nuestra información.

Proceso de autenticación de lado del cliente:

Cuando los usuarios hacen login, el servidor responde con un token (indicando que el login fue exitoso) y nosotros, de lado del cliente, agregamos una bandera para indicar que el usuario esta autenticado.
En cualquier punto de nuestra aplicación (por ejemplo, cuando cambiamos de ruta o hacemos una nueva petición) debemos verificar la expiración de los tokens.
Si el token expira, debemos cambiar la bandera para indicar que el usuario NO esta autenticado y nuevamente redireccionar a los usuarios a la ruta de login.

Juan Castro

teacher•

Notas de la clase:

Las sesiones del lado del servidor funcionan almacenando un indicador en memoria o en la base de datos, cuando este indicador desaparece, significa que el usuario ya NO esta autenticado 👍
Estos indicadores viajan (normalmente) a través de cookies, el servidor lo envia al navegador y el navegador lo envía de vuelta al servidor 🔂
Del lado del cliente NO utilizamos sesiones 😮
En Single Page Applications NO tenemos forma de verificar la autenticación de los usuarios, tendríamos que refrescar la página cada vez que necesitamos nueva información y básicamente se pierde el chiste, así no funcionan estas aplicaciones 😦
En vez de sesiones utilizamos tokens, enviamos los datos de autenticación de nuestros usuarios al servidor y, si los datos son correctos, el servidor devuelve un token, una llave que nos da acceso por algún tiempo a la información autorizada de los usuarios 🎉👌
Si en alguna de las peticiones al servidor nos informan que el token ha expirado pos, volvemos a hacer login y seguimos como si nada 😅💪

Elmer Padilla Espinoza

student•

Gracias por los datos Juan D.

Juan Pablo Perez

student•

Gracias

Carlos Eduardo Gomez García

teacher•

Esto lo veo más como para un sistema de autenticación de un banco, porque sería realmente algo malo estarle mostrando cada 15 minutos un mensaje al usuario de "Su sesión ha expirado", imagino que para este caso se usan otras cosas como los Personal Acess Token 🤔

Javier Ramos

student•

PLatzi usa Web tokens??

Miguel Angel Marquez Munoz

student•

dale f12 y date cuenta

Jair Israel Avilés Eusebio

student•

Usando las developer tools de chrome al parecer usan una especie de cookie.

Alejandro Gómez García

student•

Que pasa cuando se quiere tener sesiones con duración de más de 1 hora? en una clase pasada se recomendó expirar los tokens tras 15 minutos, pero no me parece que sea recomendable cerrar la sesión del usuario cada 15 minutos. Como se puede arreglar esto?

Juan Pablo Perez

student•

Mira esta lectura se hace con refresh https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/

Wilfred Vásquez

student•

¿No hay forma de refrescar el token? En la forma tradicional expiramos una sesión cuando hay inactividad en el uso de la app. Pero con jwt estamos estableciendo que el token expira en un tiempo determinado sin importar si hay actividad en la navegación de nuestra aplicación, por lo que si el usuario esta gestionando algo, al pasar el tiempo, se expirará su autenticación.

Elismer Bongiovanni

student•

Te dejo unas notas del cuso de Passport.js, que también lo da Guillermo, donde habla sobre Silent authenticacion vs Refresh tokens. También podes encontrar un tutorial de silent authenticacion https://platzi.com/clases/1649-passport/21980-buenas-practicas-con-jwt/

Enrique Tecayehuatl

student•

¿Para poder comprobar que tenemos una "sesión activa" o "sessión inactiva" debemos implementar interceptors y de ahí checar si tiene una sesión activa o inactiva? ¿es la manera en como se hace con SPAs? si es que entendí bien. Obvio cuando por ejemplo se hace un cambio de ruta, ejm al pasar de /home a /my-profile por ejemplo.

Jonatan Restrepo Garzon

student•

Suele hacerse así. En mi caso, en cada petición al servidor se hace una validación del token y del scope de los permisos del usuario. Si el token ha expirado (O posee una firma distinta, etc) se considera un token inválido y salta directamente al handler de errores de Node. En ese momento, en vez de retornar el error del token (que sería un error 500 por defecto), lo que hago es retornar un res.sendStatus(426). 426 es el código para indicar "Upgrade required" y en mi caso el interceptor lo asume como un flag para apagar la sesión del cliente y redireccionarlo al inicio de sesión.

ALVARO RODRIGUEZ TAMEZ

student•

buena explicación.