Stack de seguridad para aplicaciones modernas

Clase 2 de 39 • Curso de Autenticación con OAuth

Resumen

La seguridad ""clásica"" se basa en redes conectadas a una intranet, todos los conceptos y protocolos que manejábamos se limitan a controlar la seguridad en intranets.

Todo esto cambio gracias a la revolución móvil y a las arquitectura de aplicaciones basadas en microservicios: en vez de conectarnos a servicios internos de nuestras compañías, nuestros dispositivos se conectan a internet, una red publica que deja fuera los controles de seguridad que solíamos utilizar para controlar redes privadas.

El nuevo stack de tecnologías para controlar la seguridad de nuestras aplicaciones se compone principalmente de los siguientes estándares:

JSON Web Tokens (JWT): Aunque existen muchas alternativas, este estándar propone utilizar tokens cifrados con las credenciales de autenticación de los usuarios en vez de guardar estos estados con cookies en los servidores. Por esto mismo los JWT son bastante compatibles con APIs RESTful.
OAuth 2.0: Es un flujo de autorización (recuerda que autenticación y autorización son conceptos relacionados pero diferentes) que, por ser un estándar, nos permite aprenderlo y manejar los mismos pasos para delegar permisos en diferentes aplicaciones.
OpenID Connect: Es un estándar de identificación digital basado en OAuth 2.0, nos permite identificar usuarios ende una página web a través de URLs que podemos verificar con cualquier servidor que soporte el protocolo.

Javier Guerrero

student•

Hola! Me está costando entender la diferencia entre “OAuth 2.0” y “OpenID Connect”. En términos generales percibo lo siguiente:
OpenID Connect --> Para autenticación.
Oauth 2.0 --> Para autorización.

Sin embargo, en videos posteriores se ve como se usa la api de Spotify a través de Oauth, pero me parece que implícitamente también se realiza la autenticación no?

¿Podrían ayudarme con un ejemplo como diferenciar ambas tecnologías?

Gracias!

Guillermo Rodas

teacher•

Si, como lo explico en la clase de OpenID Connect con el ejemplo de Facebook, muchas compañias empezaron a usar OAuth 2.0 para la implementar autenticación. Sin embargo como OAuth 2.0 no esta hecho para autenticación se requieren implementaciones extras para reforzar su seguridad. El problema con esto es que cada quien lo estaba haciendo a su manera, por lo que nace OpenID Connect, que seria las reglas extras necesarias y estandar para implementar autenticación con OAuth 2.0.

Dario Antonio Calderón Recinos

student•

Como yo lo entiendo es de la siguiente forma:

OAuth 2.0 es un estándar de autorización y autenticación, es decir, es la forma como se manejan tanto la identidad como los permisos que puedas tener.

OpenID Connect: es un sistema que se basa en OAuth 2.0, es decir, que utiliza los parámetros que indica el estándar para resolver la identidad.

Por ejemplo ademas de OpenID Connect, hay otros que utilizan el estándar de OAuth 2.0, como Google, Facebook, etc. Ellos utilizan el mismo estándar.

Juan Castro

Rolando Mamani Salas

Leda Michelle Huerta Recinas

Juan Manuel Alberto Martin

Javier Ramos

Christian David Sánchez

Raul Gomez

Jean Nuñez

Jherom Chacon

Carlos Eduardo Gomez García

Juan Pablo Perez

Jonnathan Ramiro Juma Jara

Ana Gabriela Falcón Mancilla

Erick González

Edith Hernández Navarrete

Dario Vinueza

Eduardo Hidalgo Díaz Rugama

Stephano Apiolaza Tapia

Rulo Code

Jose Antonio Caldera

Carlos Enrique Ramírez Flores

ALVARO RODRIGUEZ TAMEZ

Ricardo Yañez V