Cómo elegir el flujo correcto en OAuth 2.0

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Introducción a OAuth 2.0 y OIDC

JSON Web Tokens

Open Authorization 2.0

Open ID Connect

OAuth y OIDC en producción

Tomar examen

Cómo elegir el flujo correcto en OAuth 2.0

Resumen

Elegir el flujo adecuado de OAuth 2.0 depende de dos roles principales: el cliente (tu aplicación) y el resource server (la API protegida). Si entiendes esa relación, puedes responder una serie de preguntas que te llevan al flujo correcto sin caer en errores de seguridad. Esta guía es para desarrolladores que están implementando autorización y necesitan tomar decisiones técnicas con criterio.

¿Cuándo usar Client Credentials Flow en OAuth 2.0?

La primera pregunta que debes hacerte es si el cliente y el resource owner son la misma entidad. Si tu aplicación es la dueña de los recursos y no hay un usuario humano involucrado, entonces el camino es Client Credentials Flow.

Este flujo aplica muy bien cuando una API externa de tu propia organización necesita consumir otra API tuya, o cuando trabajas con herramientas de línea de comandos que viven dentro de un entorno seguro. Aquí no hay usuario, hay sistemas hablando entre sistemas.

¿Qué es Client Credentials Flow? Es el flujo de OAuth donde la aplicación se autentica directamente con el authorization server usando sus propias credenciales, sin involucrar a un usuario. Se usa para comunicación segura entre servicios. [03:10]

¿Qué flujo elegir si tu cliente es una web app o legacy?

Si descartaste Client Credentials, la siguiente pregunta es si tu cliente es una web app que corre en el servidor. Cuando la respuesta es sí, usa Authorization Code Flow, que es el flujo por excelencia y cubre la mayoría de los casos reales.

¿Cuándo recurrir a Resource Owner Password Flow?

Si tu cliente no es una web app server side, pregúntate si le confías al cliente las credenciales del usuario. Solo en ese caso usarías Resource Owner Password Flow, donde el usuario entrega su usuario y contraseña directamente a la aplicación.

Este flujo es un último recurso. Está pensado para sistemas legados que no soportan redirecciones. Si puedes evitarlo, evítalo. La razón es simple: cualquier flujo donde la aplicación toca las credenciales del usuario abre puertas a problemas de seguridad.

¿Y si trabajas con apps nativas o single page apps?

Cuando el cliente es una app de escritorio, mobile o una single page app, lo ideal es Authorization Code Flow con PKCE (Proof Key for Code Exchange). Estos clientes no pueden almacenar de forma segura un client secret, y PKCE resuelve precisamente eso al añadir un mecanismo dinámico de verificación.

Una alternativa es Implicit Flow con PKCE, pero solamente dentro del contexto de OpenID Connect. No lo uses para autorización pura.

¿Cómo manejar OAuth en single page apps sin morir en el intento?

Las single page apps son el escenario más espinoso de OAuth. Durante años se recomendó Implicit Flow para ellas, pero hoy esa recomendación quedó obsoleta porque su implementación segura no es trivial y arrastra demasiados riesgos.

Estos son los pasos que recomienda la clase, en orden de preferencia:

Implementa un backend. Muchas SPA ya tienen server side rendering o un backend for frontend, así que aprovéchalo.
Si no puedes, usa Authorization Code Flow con PKCE.
Si solo necesitas OpenID Connect, puedes usar Implicit Flow con PKCE, aunque también requiere algo de backend.
Como último recurso, Implicit Flow puro, asumiendo todos los retos de seguridad.

Entre medias existe el Hybrid Flow, una combinación entre Implicit Flow (idealmente con PKCE) y Authorization Code Flow. Se considera seguro y aparece como salida cuando los flujos anteriores no son viables en tu contexto.

¿Por qué ya no se recomienda Implicit Flow? Porque entrega el access token directamente al navegador, lo que abre la puerta a fugas en logs, historial y scripts de terceros. Hoy se prefiere Authorization Code Flow con PKCE. [05:50]

¿Qué papel juega PKCE en la seguridad de OAuth?

Proof Key for Code Exchange es la pieza que hace seguros los flujos donde no puedes guardar un client secret. Funciona generando un valor dinámico (un code verifier y su code challenge) que el cliente envía al authorization server para demostrar que es el mismo que inició el flujo.

Esto cierra una vulnerabilidad clásica: que alguien intercepte el authorization code y lo intercambie por un token. Con PKCE, sin el verifier original, el código robado no sirve.

¿Qué hace PKCE diferente? Reemplaza el client secret estático por un secreto dinámico generado en cada solicitud, ideal para apps nativas y SPAs. [04:30]

Conceptos clave que aparecen en la decisión del flujo

Para cerrar el mapa mental, vale la pena ubicar los términos que se cruzan a lo largo del proceso:

Authorization server: la API que emite y valida tokens [00:20].
Resource server: los endpoints que consumes con el token [00:25].
Resource owner: el usuario dueño de los recursos [00:23].
Client: la aplicación que solicita acceso [00:18].
Client secret: credencial estática que las SPA y apps nativas no pueden proteger [04:35].
Backend for frontend: capa de servidor pensada para apoyar a una SPA en tareas como manejar tokens [06:40].

La versatilidad de OAuth viene precisamente de tener flujos diseñados para distintas limitantes técnicas. La clave está en hacerte las preguntas correctas en orden y resistir la tentación de saltarte la seguridad por comodidad.

¿Cómo armarías tú un sistema de preguntas para elegir el flujo correcto? Compártelo en los comentarios.

Comentarios

Anthony Yoel Matheus García

Estudiante

RETO

¿Qué tipo de aplicación estás desarrollando?
- SPA (Single Page Application): ¿Tu aplicación es una SPA que se ejecuta en el navegador del usuario?
- Aplicación Web Tradicional: ¿Tu aplicación es una aplicación web tradicional con múltiples páginas?
¿Dónde se ejecuta el código del cliente?
- En el Navegador del Usuario: ¿El código del cliente se ejecuta en el navegador del usuario (frontend)?
- En un Servidor: ¿El código del cliente se ejecuta en un servidor (backend)?
¿Cómo manejarás las credenciales del cliente?
- Credenciales del Cliente Público: ¿Prefieres utilizar credenciales de cliente públicas?
- Credenciales del Cliente Confidenciales: ¿Necesitas mantener tus credenciales del cliente de forma confidencial en el servidor?
¿Cómo se manejará la autenticación del usuario?
- Redireccionamiento a un Servidor de Autenticación Externo: ¿Planeas redirigir a los usuarios a un servicio de autenticación externo como Google o Facebook?
- Autenticación Interna: ¿Prefieres manejar la autenticación internamente en tu propia aplicación?
¿Necesitas acceder a recursos del usuario cuando no está presente?
- Sí: ¿Necesitas acceder a los recursos del usuario incluso cuando no está en línea?
- No: ¿Solo necesitas acceder a recursos mientras el usuario está presente y autenticado?
¿Necesitas solicitar permisos específicos?
- Sí: ¿Necesitas solicitar permisos específicos para acceder a recursos del usuario?
- No: ¿Solo necesitas autenticación básica sin solicitar permisos?
¿Deseas minimizar la interacción del usuario para obtener tokens?
- Sí: ¿Quieres que los usuarios tengan una experiencia de inicio de sesión fluida y sin necesidad de ingresar credenciales frecuentemente?
- No: ¿Estás bien con un proceso de inicio de sesión más tradicional?

Responder a estas preguntas te ayudará a identificar el flujo de OAuth 2.0 más adecuado para tu caso específico. Cada flujo tiene sus ventajas y desventajas, y elegir el correcto dependerá de tus necesidades y preferencias.

Angel Javier Sanchez Tenjo

Estudiante

Una forma práctica de elegir el flujo de OAuth 2.0 es hacerse las preguntas correctas antes de diseñar la autenticación. Por ejemplo: ¿La aplicación puede guardar un secreto de forma segura? → si sí, probablemente sea un Client Credentials o Authorization Code; si no (SPA o mobile), entonces Authorization Code con PKCE. ¿Hay un usuario humano interactuando? → si sí, necesitas un flujo con consentimiento (Authorization Code); si no, es comunicación máquina a máquina (Client Credentials). ¿La app corre en un navegador o en un backend? → navegador implica PKCE, backend permite secretos. Responder estas preguntas guía naturalmente hacia el flujo correcto y evita decisiones por moda, alineando seguridad y arquitectura desde el inicio.

José David Ripalda Fernández

Estudiante

Una consulta, tengo mis clientes que están registrados en mi propio sistema pero necesito que puedan conectarse a mis API que están protegidas, que flujo utilizaría ?

Guillermo Rodas

Profesor

Cualquier flujo pero en ese caso se suele especificar que el “audience” es la API que necesitas autorizar.

Marcel Garcia

Estudiante

Hola, estructure el siguiente prompts para chatGPT y esta fue la respuesta:

"Actúa como un consultor tecnológico especialista en seguridad, que explique los criterios y ruta para seleccionar los flujos de autorización para mi aplicación web. Respira profundo y trabaja en el caso planteado paso a paso"

ChatGPT dijo:

Como consultor tecnológico especialista en seguridad, me complace guiarte en la selección de flujos de autorización adecuados para tu aplicación web. Vamos a dividir este proceso en pasos claros y bien estructurados para asegurarnos de que tomamos decisiones informadas.

Paso 1: Comprender el Contexto y Requerimientos de la Aplicación

Primero, necesitamos comprender el tipo de aplicación web que estás desarrollando, el tipo de usuarios que la utilizarán, y las interacciones que tendrán lugar. Aquí hay algunas preguntas clave:

¿Quiénes son los usuarios? ¿Son empleados internos, clientes, partners externos, o una combinación?
¿Cuál es la naturaleza de la aplicación? ¿Es una aplicación pública, interna o un portal B2B?
¿Qué tipo de datos se manejan? ¿Son datos sensibles como información personal identificable (PII), datos financieros, o datos de bajo riesgo?
¿Cuál es la infraestructura tecnológica? ¿La aplicación está basada en la nube, en un entorno híbrido, o en un servidor on-premise?

Paso 2: Definir los Requisitos de Seguridad y Compliance

Una vez que entendemos el contexto, es crucial identificar los requisitos de seguridad y normativas que aplican:

Requisitos regulatorios: ¿Está tu aplicación sujeta a normas como GDPR, HIPAA, PCI-DSS?
Políticas de seguridad de la empresa: ¿Qué políticas internas deben cumplirse?
Requisitos de autenticación y autorización: ¿Necesitas autenticación multifactor (MFA)? ¿Hay diferentes niveles de acceso?

Paso 3: Seleccionar el Flujo de Autorización Adecuado

Ahora que tenemos un panorama claro, podemos proceder a seleccionar el flujo de autorización. Aquí hay algunos flujos de autorización comunes en aplicaciones web, cada uno con sus propios casos de uso:

Autorización basada en roles (Role-Based Access Control - RBAC):
- Cuándo usarlo: Cuando los permisos de acceso están fuertemente definidos por roles de usuario (ej. administrador, editor, lector).
- Ventajas: Fácil de implementar, bien comprendido.
- Desventajas: Puede volverse rígido si los roles no se gestionan bien.
Autorización basada en atributos (Attribute-Based Access Control - ABAC):
- Cuándo usarlo: Cuando los permisos necesitan ser más dinámicos, basados en atributos del usuario, del recurso o del entorno (ej. localización, hora del día).
- Ventajas: Gran flexibilidad y granularidad.
- Desventajas: Puede ser más complejo de implementar y mantener.
OAuth 2.0 y OpenID Connect:
- Cuándo usarlo: Cuando la aplicación necesita integrarse con terceros para autenticación y autorización (por ejemplo, autenticación mediante Google, Facebook).
- Ventajas: Amplio soporte y bien documentado para aplicaciones que necesitan autorización de recursos en nombre de un usuario.
- Desventajas: Complejidad adicional en la configuración y manejo de tokens.
Flujos de permisos granulares:
- Cuándo usarlo: En aplicaciones que necesitan un control muy preciso sobre quién puede hacer qué, con permisos a nivel de objeto o acción específica.
- Ventajas: Gran control y seguridad.
- Desventajas: Requiere una gestión meticulosa y puede ser difícil de escalar.

Paso 4: Evaluar las Opciones de Implementación

Tras identificar el flujo adecuado, es importante evaluar cómo implementar el sistema de autorización en tu infraestructura:

Integración con Identity Providers (IdP): Si estás usando OAuth2/OpenID Connect, ¿cuáles son las mejores opciones de IdP (por ejemplo, Auth0, Okta, Azure AD)?
Middleware y frameworks de autorización: ¿Tu stack tecnológico ofrece soporte nativo para el flujo elegido? Por ejemplo, muchas plataformas tienen plugins o bibliotecas que facilitan la implementación de RBAC o ABAC.
Consideraciones de escalabilidad y rendimiento: Asegúrate de que el mecanismo de autorización puede manejar la escala de tu aplicación sin introducir latencia significativa.

Paso 5: Definir y Implementar Pruebas de Seguridad

Una vez implementado el flujo de autorización, es esencial probar la solución para asegurarse de que cumple con los requisitos de seguridad:

Pruebas de penetración: Realiza pruebas para identificar posibles vulnerabilidades en la implementación de la autorización.
Validación continua: Implementa herramientas de monitoreo y logging para detectar accesos no autorizados o comportamientos sospechosos en tiempo real.
Revisión de código: Asegúrate de que el código que maneja la autorización sigue las mejores prácticas de seguridad.

Paso 6: Documentación y Formación

Finalmente, documenta el flujo de autorización implementado y proporciona formación al equipo de desarrollo y a los usuarios clave para garantizar que se entienda y se use correctamente:

Documentación técnica: Detalla cómo se ha implementado la autorización y cómo se deben gestionar los roles/permisos.
Guías de usuario: Proporciona material formativo para usuarios finales sobre cómo gestionar sus permisos o roles si es necesario.

Paso 7: Revisión y Ajustes Continuos

La seguridad no es estática, por lo que deberías planificar revisiones regulares de la implementación de autorización y hacer ajustes según sea necesario, especialmente ante cambios en el entorno regulatorio, la tecnología o los patrones de uso de la aplicación.

Santiago Villegas Castro

Company_admin

Si tengo un servicio como Cognito que usa Authentication Flow Code, Implicit flow y Client Credentials y necesito que un tercero use el servicio mediante su propio client (comunicación servidor a servidor) cual podría ser la mejor opción?, o la opción no seria cognito sino otra

Zaidibeth Ramos

Estudiante

Supongo que en la primera parte del flujo donde Client === Resource Owner querian decir Client ==== Resource Server

Nahuel Brandan

Estudiante

Parece que no. Es como indica la clase, es el caso en el que el Client ~= Resource Owner.

Esto es para casos donde se da autorización a la propia aplicación cliente en sí a acceder a algún recurso, es decir, no a un usuario.

Estas conexiones se las suele llamar Machine to Machine (M2M).

Por ejemplo: Una aplicación cliente, que requiere acceder de manera periódica a algún dato protegido de un Resource Server.

Ver ref.

Introducción a OAuth 2.0 y OIDC

Qué aprenderás en OAuth y OpenID Connect

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

OAuth y OpenID Connect para qué sirve cada uno

Cómo proteger endpoints con tokens en Express

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

Estructura y firma de un JSON Web Token

Sesiones vs JWT: qué cambia y cuándo usarlos

Firmado de JSON Web Tokens con Librería JWT en Node.js

Verificar JWT con HS256 y RS256 en Node.js

Open Authorization 2.0

Implementación de flujos OAuth 2.0 con APIs populares

Flujos de autorización en OAuth 2.0