Flujos de Autorización en OAuth 2.0: Conceptos y Funcionamiento

Clase 12 de 25Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Clase anteriorSiguiente clase

Resumen

¿Cuáles son los flujos en Open Authorization 2.0?

Open Authorization 2.0, conocido como OAuth 2.0, es fundamental para garantizar la seguridad al gestionar los accesos a recursos en aplicaciones modernas. Este sistema emplea diversos flujos, cada uno adaptado a distintas tecnologías y necesidades de implementación. Entender estos flujos es vital para cualquier desarrollador que trabaje con aplicaciones web o móviles que requieran acceso a APIs de terceros.

¿Qué roles participan en los flujos de OAuth 2.0?

Antes de profundizar en los flujos, es esencial identificar los roles involucrados en OAuth 2.0:

  • Cliente: Es la aplicación que requiere acceso a los datos del usuario.
  • Authorization Server: API que emite el token de acceso.
  • Resource Owner: El usuario que concede el acceso.
  • Resource Server: API que aloja los recursos protegidos.

Generalmente, el Authorization Server y el Resource Server pueden ser la misma entidad, lo que facilita el proceso de autorización y acceso.

¿Cómo funciona el Authorization Code Flow?

El Authorization Code Flow es el flujo más común y seguro. El proceso es como sigue:

  1. Usuario conecta a través de una aplicación, por ejemplo, "Conectar con Google."
  2. Solicitud de Autorización: El cliente envía una solicitud al Authorization Server con el Client ID y otros parámetros.
  3. Pantalla de Consentimiento: Si el usuario autoriza, se emite un Authorization Grant.
  4. Intercambio de Código: El cliente usa el Authorization Grant para solicitar un Access Token, utilizando el Client ID y el Client Secret.
  5. Acceso a Recursos: Con el Access Token, el cliente accede al Resource Server.

¿Qué es el Authorization Code Flow con Proof-Key for Code Exchange?

Este flujo es similar al anterior, pero agrega una capa de seguridad adicional mediante el Code Verifier y Code Challenge. Es ideal para aplicaciones que no pueden almacenar secretos de manera segura, como las aplicaciones de una sola página (SPA):

  • Proceso de Hashing: Se aplica un algoritmo al Code Verifier para crear el Code Challenge.
  • Verificación: El Authorization Server verifica que el Code Verifier coincida con el Code Challenge, garantizando que el cliente no ha sido interceptado.

¿Por qué no se recomienda el Implicit Flow?

El Implicit Flow es menos seguro que los demás, ya que:

  • No hay intercambio de código: El Access Token se envía inmediatamente tras la autorización del usuario.
  • Riesgo de seguridad: El token se envía en el fragmento de la URL, aumentando el riesgo si el cliente tiene fallos de seguridad.

¿Cuáles son las características del Client Credentials Flow?

Este flujo no involucra a un usuario. Es útil cuando el cliente es el Resource Owner:

  • Autenticación del Cliente: El cliente utiliza el Client ID y Client Secret para obtener un Access Token directamente del Authorization Server.
  • Uso del Token: Se utiliza para acceder al Resource Server.

¿Cómo funciona el Resource Owner Password Flow?

Este flujo es adecuado para aplicaciones legacy que no soportan redirecciones:

  • Autenticación del Usuario: El usuario ingresa directamente su username y contraseña.
  • Acceso Suficiente: Utiliza HTTPS para asegurar que las credenciales no sean interceptadas.

¿Cuál es el flujo adecuado para tu aplicación?

La elección del flujo depende de varios factores como el tipo de aplicación y el nivel de seguridad requerido. Aquí van algunas recomendaciones:

  • Authorization Code Flow: Para aplicaciones que pueden manejar secretos de cliente de forma segura, comúnmente en servicios web.
  • Proof-Key for Code Exchange Flow: Ideal para aplicaciones que no pueden almacenar secretos, como las SPA.
  • Client Credentials Flow: Cuando la aplicación actúa por sí misma sin la interacción directa del usuario.
  • Resource Owner Password Flow: Solo para aplicaciones internas o de confianza donde se puede asegurar la seguridad del canal.

Cada flujo tiene sus propias ventajas y desventajas, y es crucial analizar qué flujo es adecuado para las necesidades específicas de la aplicación y la infraestructura de seguridad existente.