Stack de seguridad para aplicaciones modernas

Name: Stack de seguridad para aplicaciones modernas
Uploaded: 2018-12-10T21:00:00+00:00
Duration: 3 min 50 s
Description: La seguridad ““clásica”” se basa en redes conectadas a una intranet, todos los conceptos y protocolos que manejábamos se limitan a controlar la seguri

Clase 2 de 39 • Curso de Autenticación con OAuth

Clase anteriorSiguiente clase

Resumen

La seguridad ““clásica”” se basa en redes conectadas a una intranet, todos los conceptos y protocolos que manejábamos se limitan a controlar la seguridad en intranets.

Todo esto cambio gracias a la revolución móvil y a las arquitectura de aplicaciones basadas en microservicios: en vez de conectarnos a servicios internos de nuestras compañías, nuestros dispositivos se conectan a internet, una red publica que deja fuera los controles de seguridad que solíamos utilizar para controlar redes privadas.

El nuevo stack de tecnologías para controlar la seguridad de nuestras aplicaciones se compone principalmente de los siguientes estándares:

JSON Web Tokens (JWT): Aunque existen muchas alternativas, este estándar propone utilizar tokens cifrados con las credenciales de autenticación de los usuarios en vez de guardar estos estados con cookies en los servidores. Por esto mismo los JWT son bastante compatibles con APIs RESTful.
OAuth 2.0: Es un flujo de autorización (recuerda que autenticación y autorización son conceptos relacionados pero diferentes) que, por ser un estándar, nos permite aprenderlo y manejar los mismos pasos para delegar permisos en diferentes aplicaciones.
OpenID Connect: Es un estándar de identificación digital basado en OAuth 2.0, nos permite identificar usuarios ende una página web a través de URLs que podemos verificar con cualquier servidor que soporte el protocolo.

Juan Castro

teacher•

“Una intranet es una red informática que utiliza la tecnología del protocolo de Internet para compartir información, sistemas operativos o servicios de computación dentro de una organización. Suele ser interna, en vez de pública como internet, por lo que solo los miembros de esa organización tienen acceso a ella.” 🙄

¿Que es una Intranet?

Rolando Mamani Salas

student•

Gracias

Leda Michelle Huerta Recinas

student•

Excelente, gracias

Juan Manuel Alberto Martin

student•

Les dejo un video que me gusto donde explican y muestran la diferencia entre OAut 2.0 y OpenIDConnect

Youtube

Javier Ramos

student•

Soy sincero, me ha costado entender los conceptos y me gustaría de ser posible me corrijan si me equivoco

El Stack de seguridad de aplicaciones modernas, esta impulsado por la necesidad de tener control sobre la Autenticación y Autorización de los usuarios de las aplicaciones móviles conectadas por Internet basadas en la arquitectura de microservicios, proporcionando así la seguridad que antes se tenia con las Intranet

El stack moderno esta compuesto por JWT (JSON Web Tokens) uso de tokens cifrados Para Autenticación OAuth 2.0 Para Autorización OpenIDConnet Para Identificación

Es correcto?

Guillermo Rodas

teacher•

Si, en pocas palabras debido a la evolución que ha tenido la comunicación entre aplicaciones fue necesario crear nuevas soluciones, que fueran más estandar y fáciles de implementar.

Christian David Sánchez

student•

Los tokens de acceso se utilizan en la autenticación basada en tokens para permitir que una aplicación acceda a una API. La aplicación recibe un token de acceso después de que un usuario autentica y autoriza el acceso con éxito, luego pasa el token de acceso como una credencial cuando llama a la API de destino. El token pasado informa a la API que el portador del token ha sido autorizado para acceder a la API y realizar acciones específicas especificadas por el alcance otorgado durante la autorización.

Fuente: https://auth0.com/docs/tokens/access-tokens

Raul Gomez

student•

upss OpenID Connect: https://es.wikipedia.org/wiki/OpenID_Connect

Rolando Mamani Salas

student•

Gracias

Jean Nuñez

student•

Autenticacion y autorizacion son dos cosas diferentes pero que estan muy relacionadas

Javier Guerrero

student•

Hola! Me está costando entender la diferencia entre “OAuth 2.0” y “OpenID Connect”. En términos generales percibo lo siguiente:
OpenID Connect --> Para autenticación.
Oauth 2.0 --> Para autorización.

Sin embargo, en videos posteriores se ve como se usa la api de Spotify a través de Oauth, pero me parece que implícitamente también se realiza la autenticación no?

¿Podrían ayudarme con un ejemplo como diferenciar ambas tecnologías?

Gracias!

Guillermo Rodas

teacher•

Si, como lo explico en la clase de OpenID Connect con el ejemplo de Facebook, muchas compañias empezaron a usar OAuth 2.0 para la implementar autenticación. Sin embargo como OAuth 2.0 no esta hecho para autenticación se requieren implementaciones extras para reforzar su seguridad. El problema con esto es que cada quien lo estaba haciendo a su manera, por lo que nace OpenID Connect, que seria las reglas extras necesarias y estandar para implementar autenticación con OAuth 2.0.

Dario Antonio Calderón Recinos

student•

Como yo lo entiendo es de la siguiente forma:

OAuth 2.0 es un estándar de autorización y autenticación, es decir, es la forma como se manejan tanto la identidad como los permisos que puedas tener.

OpenID Connect: es un sistema que se basa en OAuth 2.0, es decir, que utiliza los parámetros que indica el estándar para resolver la identidad.

Por ejemplo ademas de OpenID Connect, hay otros que utilizan el estándar de OAuth 2.0, como Google, Facebook, etc. Ellos utilizan el mismo estándar.

Jherom Chacon

student•

¿Qué tan actualizado está este curso? He visto por ejemplo que ahora existen opciones de autenticación sin password a través de la identidad proporcionada por otras herramientas como el correo electrónico, por ejemplo.

Guillermo Rodas

teacher•

Sigue siendo relevante, pero pronto tendremos una versión actualizada.

Carlos Eduardo Gomez García

teacher•

¿Entonces JWT y OAuth no son lo mismo? Chale, pensaba que JWT trabajaba sobre OAuth o así 🤔. Es decir, al menos en mi proyecto necesito generar un API REST sin estado, y sé que necesito JWT, ya que es para eso, pero entonces no entiendo para qué sirve OAUth 🤔

Juan Pablo Perez

student•

Por lo que entiendo son dos métodos diferentes para autenticar espero que en las próximas clases veamos las diferencias.

Carlos Eduardo Gomez García

teacher•

Sí, OAuth es simplemente el "protocolo" o más bien son los diferentes flujos de autenticación que existen, y para estos flujos de autenticación se usan tokens, pueden ser cualquier tipo de tokens, pero los más comunes son los JWT :D

Jonnathan Ramiro Juma Jara

student•

Autenticación saber quien eres, autorización saber a que recursos tienes acceso

Ana Gabriela Falcón Mancilla

student•

Genial!!!

Erick González

student•

Exelente ifo

Edith Hernández Navarrete

student•

Interesante Curso!

Erick González

student•

Opino lo mismo!

Dario Vinueza

student•

Entre OAuth 2.0 y Keycloak que es mas recomendable? Saludos y gracias!

Guillermo Rodas

teacher•

Creo que Keycloak es una solución que va mas alla del estandar, y no podria comparse propiamente pues Keycloak es todo un aplicativo.

Más info:
https://developers.redhat.com/blog/2017/01/05/spring-boot-and-oauth2-with-keycloak/
https://www.keycloak.org/about.html

Eduardo Hidalgo Díaz Rugama

student•

¿Que significa que RESTful no deba tener estado? en el min 2:10 aprox el profesor lo menciona, pero no me queda nada claro.

Stephano Apiolaza Tapia

student•

Hay ciertos estandares donde guardas de forma parcial el estado dentro de un endpoint para después continuarlo, rest no debe guardar ningún estado. (Esos estados los puedes guardar ya sea con un modulo del protocolo como soap o simplemente sesion).

Eduardo Hidalgo Díaz Rugama

student•

Te refieres por ejemplo, dentro de un checkout de 3 pasos como el de amazon, que la API no conserva el estado entre los pasos de checkout, ¿eso lo hace el cliente con sessions?

Ya me queda claro lo del estado entonces.

Rulo Code

student•

¡Empecemos con toda a aprender Autenticación moderna!

Jose Antonio Caldera

student•

Excelente avanzamos !!

Carlos Enrique Ramírez Flores

student•

Crei que OAuth, era solo JWT!

Jean Nuñez

student•

Claro que no JWT es otra forma o estandar de intercambios de datos que usa JSOn como formato de intercambios de datos

ALVARO RODRIGUEZ TAMEZ

student•

Tengo nulo conocimiento de lo que se requiere para el curso, pero está en la ruta de aprendizaje, ya vere como me va.

Ricardo Yañez V

student•